根据通报资料,这两项漏洞编号为 CVE-2025-11001 和 CVE-2025-11002,影响所有旧版 7-Zip 软件。
漏洞的核心问题出现在程序对 ZIP 文件中符号链接(symbolic link)的处理方式。攻击者可通过构造恶意 ZIP 压缩包,诱使受害者在存在漏洞的版本中解压该文件,从而触发目录遍历(directory traversal)漏洞。
一旦攻击成功,系统在解压时可能会将文件写入预期目录之外的位置,甚至是敏感系统路径,从而植入恶意代码或程序。虽然攻击需要用户主动打开该压缩文件,但只要受害者执行了解压操作,攻击代码即可在目标计算机上以当前用户或服务账户权限运行。
报告显示,这两项漏洞在 CVSS 3.0 评分中均被评为 7.0(高危级别)。成功利用后,攻击者可在受影响系统上执行任意代码,进而可能造成系统被完全控制、数据被窃取,或为勒索软件等进一步攻击提供通道。
