7-Zip爆高危漏洞需紧急升级，25.00版修复远程代码执行风险

10月11日最新警示，知名开源压缩工具7-Zip被确认存在两个高危安全缺陷，黑客可能借助这些漏洞实现对系统的远程操控。安全专家紧急呼吁用户立即升级到最新发布的25.00版本，以防范潜在威胁。

据安全公告显示，这两个已被编号为CVE-2025-11001和CVE-2025-11002的漏洞，影响所有旧版7-Zip软件。

漏洞主要源于软件处理ZIP压缩包中的符号链接时存在缺陷。黑客可通过精心构造的恶意压缩文件，诱导用户在存在漏洞的版本中进行解压操作，进而触发目录穿越漏洞。

一旦攻击得逞，解压过程可能将文件写入非预期的系统路径，甚至渗透到敏感目录中。虽然此类攻击需要用户手动解压文件，但只要执行该操作，攻击代码就会以当前用户权限在目标系统上执行。

安全评估报告指出，这两个漏洞在CVSS 3.0评分体系中均获得7.0分的高危评级。成功利用后，攻击者不仅能执行任意代码，还可能完全控制系统，窃取敏感数据，甚至为后续勒索软件攻击创造条件。

虽然漏洞利用需要用户交互且技术门槛较高，因而未被列为"严重"级别，但鉴于7-Zip庞大的用户基数，其对系统安全的潜在威胁依然不容小觑。

需要注意的是，7-Zip开发团队已在2025年7月推出的25.00版本中彻底修复了这些安全问题。漏洞最初由GMO Flatt Security公司的安全研究员Ryota Shiga发现，并与takumi-san.ai团队合作完成了披露流程。

完整披露过程显示，研究人员在2025年5月2日已向开发者提交漏洞报告。当前所有安全机构一致建议用户尽快升级到7-Zip 25.00版本，以完全杜绝可能的远程攻击风险。