Как выяснили исследователи, недавно выявленная уязвимость в архиваторе 7-Zip — CVE-2025-11001 — уже эксплуатируется злоумышленниками в реальных кибератаках. Об этом во вторник предупредила NHS England Digital. Проблема получила 7 баллов по CVSS и позволяет удалённо выполнять произвольный код.
Уязвимость закрыли в версии 7-Zip 25.00, выпущенной в июле 2025 года.
Ошибка связана с обработкой символьных ссылок внутри ZIP-файлов: специально подготовленный архив может заставить программу выходить за пределы выделенных директорий.
В итоге атакующий получает возможность запустить код от имени сервисного аккаунта. Об этом ещё месяц назад сообщала Trend Micro ZDI. Баг обнаружили исследователи из GMO Flatt Security и их ИИ-инструмент AppSec Auditor Takumi.
Вместе с CVE-2025-11001 разработчики устранили ещё одну уязвимость — CVE-2025-11002. Она также позволяет выполнить код, используя некорректную обработку симлинков. Обе проблемы появились в версии 21.02.
В NHS England Digital подтверждают: случаи эксплуатации CVE-2025-11001 уже фиксируются, но подробностей — кто атакует и каким способом — пока нет.
Ситуацию осложняет тот факт, что в Сети доступны PoC-эксплойты. Поэтому пользователям 7-Zip рекомендуют не откладывать обновление.
Автор PoC, исследователь Доминик (известный как pacbypass), уточняет, что эксплуатировать уязвимость можно только с помощью повышенных привилегий или на системе с включённым режимом разработчика. Кроме того, баг работает только в Windows.
