La vulnerabilità, tracciata con il codice CVE-2025-11001, deriva da un mancato trattamento di collegamenti simbolici nei file ZIP, consentendo agli attaccanti di percorrere directory e eseguire codice arbitrario sui sistemi vulnerabili.
La vulnerabilità è stata scoperta nel mese di ottobre 2025 ed ha un punteggio di gravità CVSS v3 di 7,0, evidenziando la sua gravità dovuta al potenziale per l’esploitaione diffusa senza richiedere privilegi elevati.
La vulnerabilità CVE-2025-11001 si manifesta durante il parsing dei file ZIP contenenti collegamenti simbolici artefatti, che ingannano 7-Zip nell’iscrivere file al di fuori della directory di estrazione prevista.
Questo attraversamento di directory può consentire agli attaccanti di sovrascrivere file sistemici critici o di iniettare payload maliziati, portando all’esecuzione di codice completo nel contesto dell’utente o del conto di servizio che esegue l’applicazione.
Gli esperti di sicurezza di Trend Micro’s Zero Day Initiative (ZDI) hanno descritto come un attaccante potrebbe sfruttare questo per sfuggire da ambienti sandboxed, rendendo particolarmente pericoloso per il trattamento file automatico in ambienti aziendali.
La vulnerabilità è stata scoperta da Ryota Shiga di GMO Flatt Security Inc., in collaborazione con la loro AI-powered AppSec Auditor tool, e segnalata prontamente ai sviluppatori di 7-Zip.
Un exploit di prova (PoC) è stato pubblicamente rilasciato, dimostrando come un file ZIP malizioso possa abusare del mancato trattamento dei collegamenti simbolici per facilitare scritture di file arbitrarie e, in determinati scenari, RCE diretta.
Questo PoC ha abbassato la barriera per gli attori di minaccia, accelerando gli attacchi reali nel mondo osservati.
L’esploitaione richiede interazione minima da parte dell’utente; semplicemente aprire o estrarre un archivio truccato è sufficiente, un comune vettore in campagne di phishing e download drive-by.
Questa questione non è isolata; la versione 7-Zip 25.00, rilasciata nel mese di luglio 2025, patcha anche una falla correlata, CVE-2025-11002, che condivide la stessa causa radice del mancato trattamento dei collegamenti simbolici e porta un punteggio CVSS identico di 7,0.
Ambedue le vulnerabilità sono state introdotte nella versione 21.02, interessando tutte le rilascia precedenti di questo strumento open-source utilizzato da oltre 100 milioni di utenti di Windows in tutto il mondo per compiti di compressione.
Gli indicatori precoci suggeriscono che gli attaccanti stanno mirando a sistemi non aggiornati in settori come la sanità e la finanza, dove il trattamento file è routinario.
Il Servizio Nazionale per la Salute (NHS) Inghilterra ha emesso un avviso di urgenza il 18 novembre 2025, confermando l’esploitaione attiva di CVE-2025-11001, esortando immediati aggiornamenti per mitigare i rischi.
Gli attori di minaccia potrebbero utilizzare questa RCE per distribuire ransomware, rubare dati sensibili o stabilire backdoors persistenti, amplificando il pericolo negli attacchi alla catena di approvvigionamento dove gli archivi compromessi si diffondono via email o condivisi.
Le organizzazioni che affidano a 7-Zip operazioni di file in blocco si trovano esposte a minacce elevate, poiché estrazioni automatiche potrebbero propagare silenziosamente malware all’interno delle reti.
Per contrastare questa minaccia, gli utenti e le organizzazioni devono aggiornare 7-Zip alla versione 25.00 o successiva, disponibile dal sito ufficiale, che impone una canonizzazione di percorso più rigorosa per bloccare tentativi di attraversamento.
Il patch prevenire i collegamenti simbolici dal sfuggire dai limiti di estrazione, neutralizzando entrambe le CVE-2025-11001 e CVE-2025-11002.
Le piattaforme interessate includono tutte le versioni di Windows che eseguono 7-Zip prima della versione 25.00, senza segnalare impatti sui port inglesi di Linux o macOS.
