近日，漏洞研究机构Zero Day Initiative（ZDI）披露了流行开源压缩工具7-Zip的两个高危漏洞（CVE编号：CVE-2025-11001、CVE-2025-11002）。攻击者可通过诱骗用户打开特制ZIP文件，实现任意代码执行。目前，这两个漏洞已在7-Zip 25.00版本中完成修复。

漏洞核心细节：符号链接处理不当致目录遍历

根据ZDI发布的安全公告，这两个漏洞的底层成因完全一致——**对ZIP压缩包内符号链接的处理逻辑存在缺陷**。正常情况下，7-Zip提取文件时应限制在用户指定的目标目录内，但恶意ZIP文件可利用该漏洞突破目录限制，实现“目录遍历”，进而覆盖系统中任意位置的文件，或触发预先植入的恶意代码。

ZDI在公告中明确指出：“该漏洞允许远程攻击者在受影响的7-Zip安装实例上执行任意代码。利用漏洞需与该软件产生交互，但攻击路径可能因7-Zip的具体应用场景不同而变化。”

危害范围：特权执行风险覆盖多场景

从攻击后果来看，漏洞利用可让攻击者以“服务账户权限”执行代码——若7-Zip在系统中以高权限（如管理员权限）运行，攻击者可能直接获取 elevated privileges（提升权限），对系统造成深度控制。

攻击手段：钓鱼伪装降低用户警惕

尽管直接利用需用户交互，但ZIP文件的通用性为攻击者提供了便利。ZDI警示，攻击者可将恶意压缩包伪装成简历、发票、项目文档等常用文件，通过钓鱼邮件、即时通讯等渠道发送，诱骗用户用7-Zip解压。一旦解压，漏洞即被触发，可能导致：

1. 覆盖系统配置文件或开机启动项，实现恶意程序“持久化驻留”；

2. 向系统可信目录植入恶意可执行文件；

3. 若被覆盖的文件后续被系统或高权限服务调用，将直接触发远程代码执行。

安全建议：立即升级至25.00版本

目前，7-Zip官方已在25.00版本中修复上述两个漏洞。为防范攻击，所有用户需根据使用场景采取对应措施：

1. 普通桌面用户：尽快打开7-Zip，通过“帮助-检查更新”升级至25.00版本；若自动更新失败，可前往7-Zip官网（https://www.7-zip.org/）下载最新安装包；

2. 企业/服务器管理员：排查内部系统是否集成7-Zip库（如文件管理平台、自动化解压工具），优先对服务器端组件进行版本升级，同时加强对不明来源ZIP文件的过滤；

3. 临时防护：升级前，避免解压来源不明的ZIP文件，尤其警惕邮件附件、陌生链接中携带的压缩包。