Kritične ranjivosti u 7Zip

Sadržaj

Aktivno se eksploatiraju ranjivosti u 7Zip softveru označene kao CVE-2025-11001 i CVE-2025-11002. Propust u načinu na koji 7Zip obrađuje simboličke veze unutar ZIP arhiva omogućuje napadaču preusmjeravanje ekstrakcije izvan ciljnog direktorija i potencijalno izvršavanje koda na sustavu.

Detalji

Ranjivosti CVE-2025-11001 i CVE-2025-11002 proizlaze iz načina na koji 7Zip obrađuje simboličke veze unutar ZIP arhiva. Prilikom raspakiravanja 7Zip bi trebao provjeriti je li putanja na koju simbolička veza upućuje sigurna i nalazi li se unutar predviđenog direktorija. U ranjivim verzijama ta provjera nije ispravna. Funkcija koja određuje radi li se o apsolutnoj putanji može pogrešno protumačiti određene formate simboličkih veza, osobito one izvorno stvorene u Linux ili WSL okruženju. Zbog toga je moguće da se manipulirana putanja tretira kao relativna iako zapravo vodi izvan sigurnog direktorija.

Kada korisnik otvori ili raspakira ZIP arhivu 7Zip može slijediti takvu vezu i zapisati datoteke na lokaciju koju odredi napadač, primjerice u sustavske direktorije ili direktorije aplikacija. Ako korisnik ima dovoljne privilegije napadač može prepisati postojeće datoteke ili umetnuti izvršne elemente koji se potom pokreću kao dio legitimnih procesa. Na taj način moguće je izvršiti zlonamjerni kod, izmijeniti konfiguracije ili pripremiti uvjete za daljnju eskalaciju napada. Rizik dodatno povećava činjenica da je javno objavljen dokaz koncepta koji omogućuje jednostavnu i ponovljivu eksploataciju.

Pogođene su verzije 7Zip-a od 21.02 do 24.09 koje nemaju ispravnu provjeru putanja, a ranjivost je u potpunosti uklonjena tek u verziji 25.00. CVSS ocjena 7.0 potvrđuje značajan učinak na povjerljivost, cjelovitost i dostupnost, a sigurnosni stručnjaci navode da eksploatacija zahtijeva minimalnu korisničku interakciju što ju čini vrlo izvedivom u stvarnim napadnim kampanjama.

Preporuka
‍
• Dok se ne primijeni zakrpa izbjegavajte otvaranje ZIP arhiva iz neprovjerenih izvora posebno onih koji sadrže simboličke veze ili neuobičajene strukture.
• Pregledajte logove sustava i datotečne aktivnosti za znakove pisanja datoteka izvan uobičajenih korisničkih direktorija nakon raspakiravanja arhiva.
• Uključite EDR i SIEM nadzor radi pravodobnog otkrivanja anomalija koje uključuju manipulaciju datotečnih putanja ili stvaranje datoteka na zaštićenim mjestima.

Reference

• https://cybersecuritynews.com/7-zip-vulnerabilities
• https://cybersecuritynews.com/poc-exploit-7-zip-vulnerabilities
• https://thehackernews.com/2025/11/hackers-actively-exploiting-7-zip.html
• https://nvd.nist.gov/vuln/detail/CVE-2025-11001
• https://www.zerodayinitiative.com/advisories/ZDI-25-950/

‍