Целых три года уязвимости оставались незамеченными, а теперь атаку может воспроизвести каждый.
С момента раскрытия двух критических уязвимостей в 7-Zip прошло совсем немного времени, но обстановка изменилась радикально — в открытом доступе появились рабочие PoC-эксплойты, позволяющие воспроизвести атаку с подменой пути распаковки и внедрением произвольных файлов. Это делает атаку значительно более вероятной, особенно в корпоративных средах, где архивы обрабатываются автоматически. Теперь речь идёт не просто о теоретической угрозе, а о подтверждённой возможности выполнения кода в Windows-среде.
Обе уязвимости — CVE-2025-11001 и CVE-2025-11002 — касаются некорректной обработки символьных ссылок при распаковке ZIP-файлов. Программа преобразует Linux-стиль симлинков в Windows-пути, не проверяя, указывают ли они за пределы директории извлечения. Это позволяет направить распаковку в произвольные места, включая системные каталоги. В демонстрационном примере симлинк ведёт на Desktop, а следом извлекается исполняемый файл, который оказывается в этой директории. Если пользователь запустит его — происходит выполнение кода.
Проблемы затрагивают версии 7-Zip с 21.02 по 24.09. Специалисты установили, что ошибка заложена в логике модуля ArchiveExtractCallback.cpp, в частности в функциях IsSafePath и CLinkLevelsInfo::Parse. При этом обход системы защиты срабатывает даже тогда, когда путь выглядит относительным, но фактически указывает за границы целевой папки. Обновление 25.00 устраняет эти уязвимости, вводя дополнительные проверки, поддержку флага isWSL и уточнённую обработку абсолютных путей.
Опасность усиливается тем, что эксплойт, опубликованный под псевдонимом pacbypass, подтверждает возможность направленного внедрения файлов. Он не требует массового заражения, но может быть использован для атаки на конкретного пользователя с административными правами или на систему, работающую в режиме разработчика. Код работает только под Windows, но именно эта платформа является основной для пользователей 7-Zip.
Разработчики внедрили защиту в релизе 25.00, закрыв оба вектора — прямой обход и использование UNC-путей, потенциально опасных для сетевых папок. Тем не менее, с выходом PoC-эксплойтов появляется угроза включения этих техник в состав более сложных атак, особенно в фишинговых сценариях или при использовании заражённых архивов для первичного доступа.
Пользователям рекомендуется обновить 7-Zip до последней версии, отключить поддержку симлинков, а также внимательно следить за местами распаковки и операциями записи в чувствительные каталоги. Ситуация подтверждает, что даже небольшие отклонения в логике обработки архивов могут привести к серьёзным последствиям.