近日，研究人员披露了全球广泛使用的开源文件归档工具 7 - Zip 中存在的两个新漏洞，编号分别为 CVE - 2025 - 53816 和 CVE - 2025 - 53817 ，影响 7 - Zip 25.0.0 之前的版本。虽暂无法实现远程代码执行，但会引发内存损坏与拒绝服务（DoS）风险，CVSSv4 基础评分为 5.5 ，属中等严重程度，处理不可信归档文件的用户需格外关注。

第一个漏洞（CVE - 2025 - 53816 ）存在于 7 - Zip 对 RAR5 归档的处理流程。提取文件时，软件会依据攻击者可控值，错误计算需在内存中置零的字节数。CVE 描述指出，“在 25.0.0 之前版本的 7 - Zip 中，RAR5 处理程序里堆缓冲区外写入零，可能导致内存损坏和拒绝服务” 。这源于涉及 _lzEnd 变量的算术运算错误，该变量依赖归档中前一项的大小，易受攻击者影响。虽无证据表明可用于代码执行，但堆内存损坏会致程序不稳定或崩溃 。

第二个漏洞（CVE - 2025 - 53817   ）影响 7 - Zip 对复合文档格式文件的提取支持。攻击者构造畸形复合文档文件，可使 7 - Zip 应用意外崩溃，打乱工作流程，在自动化文件处理环境中还可能引发服务中断 。

目前，7 - Zip 最新版本 25.0.0 已修复这两个漏洞。强烈建议用户立即更新，以保障压缩归档文件（尤其是来自不可信、未知来源的文件 ）处理安全，避免遭受漏洞带来的不良影响 。