Se han descubierto dos vulnerabilidades de alta gravedad en el popular archivador de archivos de código abierto 7-Zip, que podrían permitir a atacantes remotos ejecutar código arbitrario.
Identificadas como CVE-2025-11001 y CVE-2025-11002, las fallas afectan a todas las versiones del software anteriores a la última versión y requieren una corrección inmediata.
Falla en el procesamiento de enlaces simbólicos
El núcleo de ambas vulnerabilidades reside en la forma en que 7-Zip gestiona los enlaces simbólicos incrustados en archivos ZIP. Según el aviso, un atacante puede crear un archivo ZIP malicioso con datos manipulados que explotan esta vulnerabilidad.
Cuando un usuario con una versión vulnerable de 7-Zip intenta descomprimir el archivo, el proceso afectado puede manipularse para realizar un recorrido de directorio. Esto permite que el proceso de extracción escriba archivos fuera de la carpeta de destino prevista, lo que podría colocar cargas maliciosas en ubicaciones sensibles del sistema.
Si bien el ataque se inicia remotamente mediante la entrega del archivo malicioso, su explotación requiere la interacción del usuario, ya que la víctima debe decidir si desea abrir el archivo comprimido. Los vectores de ataque específicos pueden variar según la implementación de 7-Zip en diferentes entornos.
La alta complejidad del ataque y la necesidad de interacción del usuario impiden que las vulnerabilidades reciban una calificación crítica, pero el impacto potencial en la confidencialidad, la integridad y la disponibilidad sigue siendo significativo dado el uso generalizado de la utilidad 7-Zip.
El desarrollador de 7-Zip ha lanzado la versión 25.01, que corrige estas fallas de seguridad. Se recomienda encarecidamente a todos los usuarios que actualicen sus instalaciones inmediatamente para protegerse contra posibles vulnerabilidades.
Las vulnerabilidades se informaron inicialmente al proveedor el 2 de mayo de 2025, siguiendo un cronograma de divulgación responsable.
Posteriormente, el 7 de octubre de 2025, se publicó un aviso público coordinado para informar al público sobre los riesgos y el parche disponible. Estas vulnerabilidades fueron descubiertas por el investigador de seguridad Ryota Shiga de GMO Flatt Security Inc., en colaboración con takumi-san.ai.
Fuente: CyberSecurityNews