Uma falta de firmeza recentemente divulgada que afeta o 7-Zip está debaixo de exploração ativa, de contrato com uno avisado emitido lã Monarquia Unificado NHS England Do dedo na terça-feira. 
A vulnerabilidade em inquisição é a CVE-2025-11001 (pontuação CVSS: 7.0), que permite que invasores remotos executem código facultativo. Ele foi deliberado na interpretação 7-Zip 25.00 lançada em julho de 2025.
“A falta específica existe no trato de links simbólicos em arquivos ZIP. Dados criados em uno registro ZIP podem realizar com que o ordem atravesse para diretórios jamais intencionais”, disse a Cifra Day Initiative (ZDI) da Trend Micro em uno alerta publicado no mês pretérito. “Singular atacador pode aproveitar esta vulnerabilidade para satisfazer código no contextura de uma operação de ofício.”
Ryota Shiga, da GMO Flatt Security Inc., adjunto com o auditor AppSec da empresa, Takumi, sustentado por lucidez sintético (IA), foram creditados por achar e contar a vulnerabilidade.
É essencial reparar que o 7-Zip 25.00 igualmente resolve outra falta, CVE-2025-11002 (pontuação CVSS: 7.0), que permite a realização remota de código aproveitando o manuseio incoveniente de links simbólicos em arquivos ZIP, resultando na travessia de diretório. Ambas as deficiências foram introduzidas na interpretação 21.02.
“A exploração ativa de CVE-2025-11001 foi observada na natura”, disse o NHS England Do dedo. No entanto, atualmente jamais há detalhes disponíveis a respeito de porquê está sendo usado porquê arma, por quem e em que contextura.
Oferecido que existem explorações de mostra de noção (PoC), é obrigatório que os usuários do 7-Zip ajam apressadamente para utilizar as correções necessárias o mais vertiginoso exequível, se ainda jamais, para proteção ideal.
“Esta vulnerabilidade isolado pode ser explorada no contextura de uma operação de usuário/ofício elevada ou de uma máquina com guisa de desenvolvedor habilitado”, disse o observador de firmeza Dominik (igualmente famoso porquê pacbypass), que lançou o PoC, em uno post detalhando a falta. “Esta vulnerabilidade isolado pode ser explorada no Windows.”
Nascente: Google Trends
