Две критические уязвимости в популярном архиваторе 7-Zip, связанные с обработкой ZIP-архивов, позволяют злоумышленникам выполнять произвольный код на уязвимых системах. Проблемы, отслеживаемые как CVE-2025-11002 и CVE-2025-11001, были обнаружены исследователями кибербезопасности и касаются некорректной обработки символических ссылок внутри архивных файлов.
Детали уязвимостей
Обе уязвимости основаны на механизме обхода каталогов (directory traversal), когда специально созданный ZIP-архив заставляет программу выходить за пределы предназначенной для извлечения директории. Это становится возможным из-за неправильной обработки символических ссылок, которые могут перенаправлять процесс извлечения в неожиданные места файловой системы.
Уязвимости получили одинаковый балл CVSS 7.0, что классифицирует их как проблемы высокой степени серьезности. Для эксплуатации требуется локальный доступ к системе, но при этом не нужны привилегии пользователя - достаточно минимального взаимодействия, такого как открытие или извлечение вредоносного архива в скомпрометированной среде.
Технический анализ показывает, что злоумышленник может создать ZIP-архив, содержащий символическую ссылку с именем, например, ../../../../windows/system32/вредоносная.dll, указывающую на файл, контролируемый атакующим. При извлечении такого архива службой, работающей под учетной записью SYSTEM, библиотека DLL помещается в каталог System32. Последующий запрос на загрузку этой библиотеки через плагин или запланированную задачу приводит к выполнению произвольного кода с повышенными привилегиями.
Особую опасность эти уязвимости представляют для корпоративных сред, где автоматическая обработка ZIP-файлов широко используется в системах обмена файлами и автоматизированного резервного копирования. Исследователи подчеркивают, что атака может быть использована для перезаписи произвольных файлов или размещения вредоносных нагрузок в защищенных местоположениях.
В качестве индикаторов компрометации специалисты по безопасности рекомендуют отслеживать неожиданное появление DLL-библиотек или исполняемых файлов в защищенных каталогах после извлечения архивов, а также подозрительные записи ZIP, содержащие чрезмерные последовательности обхода путей. Аудит систем, автоматически обрабатывающих ZIP-файлы, и анализ журналов на предмет аномальных паттернов обхода каталогов становятся необходимыми мерами обеспечения безопасности.
Производитель выпустил обновление 7-Zip версии 25.00, которое устраняет обе уязвимости путем внедрения безопасной канонизации путей и блокировки символических ссылок, выходящих за пределы предназначенной для извлечения директории. Уязвимости были сообщены разработчику 2 мая 2025 года, а координированное публичное уведомление выпущено и обновлено 7 октября 2025 года.
Эксперты настоятельно рекомендуют администраторам немедленно обновить 7-Zip до патченной версии. В качестве временных мер защиты до развертывания обновлений предлагается реализовать строгую санацию каталогов или отключить автоматическое извлечение в недоверенных контекстах. Непрерывный мониторинг служб обработки файлов и применение строгой проверки входных данных остаются важными элементами защиты от подобных атак на основе ZIP-архивов.
Случай с 7-Zip демонстрирует сохраняющуюся актуальность классических векторов атак, связанных с обработкой архивных форматов, и подчеркивает необходимость тщательной проверки даже в хорошо известных и проверенных временем программных решениях. Для организаций, полагающихся на автоматизированную обработку ZIP-файлов, своевременное применение исправлений становится критически важной задачей для предотвращения потенциальной компрометации систем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-11001
- https://www.cve.org/CVERecord?id=CVE-2025-11002
- https://www.zerodayinitiative.com/advisories/ZDI-25-950/
