早前研究人员公布开源压缩工具 7-Zip 的路径遍历漏洞 ,黑客借助该漏洞可以构造特制的恶意文件诱导用户使用 7-Zip 打开,从而触发漏洞并实现远程代码执行。这个漏洞早在三个月前发布的 7-Zip v25.00 版中修复,研究人员迟迟没有公布漏洞是因为 7-Zip 不具备自动更新功能,因此漏洞若是提前公布且大量用户未更新的情况下,可能会造成严重的安全威胁。
不过现在已经过去三个月,漏洞被公布的同时,也已经有研究人员在 GitHub 上公布该漏洞的 PoC 概念验证,也就是借助这个概念验证代码可以利用漏洞发起攻击。
因此如果你使用 7-Zip 那么请务必升级到最新版本,按照行业惯例,一旦 PoC 公布那么很快利用漏洞发起的攻击将会呈指数级增长,尤其是 7-Zip 这种不带自动更新的软件,黑客利用率可能还会显著高于其他软件。
当然对于有兴趣的安全研究人员或其他从业人员,也可以通过 PoC 代码来进行测试:
https://github.com/pacbypass/CVE-2025-11001/
学习此类漏洞的利用方法以便未来能够在其他软件审计中带来帮助。
7-Zip v25.00下载地址:https://www.7-zip.org/download.html