解压缩工具 7-Zip 最新版本修复了两个可能被攻击者利用、在用户计算机上远程执行恶意软件的漏洞。 这些漏洞已于今年 5 月被报告给 7-Zip 开发商。 7 月发布的 25.00 版本已解决这些安全问题,现协调公开漏洞详情。关于 CVE-2025-11001 和 CVE-2025-11002 的具体信息目前尚未披露,也未出现在 7-Zip 版本的更新日志中。网络安全供应商趋势科技的零日计划(ZDI)确认,这两个漏洞在通用漏洞评分系统(CVSS)上的评级均为 7.0 分。攻击者可通过特制 zip 文件,在安装有漏洞版本 7-Zip 的计算机上执行任意代码。用户仅需解压此类恶意压缩包即可触发漏洞。该安全漏洞的成因在于 zip 文件中符号链接的处理机制。发现者 GMO Flatt Security 研究员 Ryota Shiga 借助 AI 安全工具 Takumi San AI 识别了这些漏洞。
