关于7-Zip远程代码执行漏洞（CVE-2025-11001、CVE-2025-11002）的安全预警

一、基本情况

7-Zip是一款开源的文件压缩和解压缩软件，支持多种压缩格式，包括ZIP、RAR、7z等。

二、漏洞描述

CVE-2025-11001和CVE-2025-11002是7-Zip压缩软件在2025年发现的两个高危漏洞，攻击者可利用这些漏洞通过恶意ZIP文件实现远程代码执行。两个漏洞均源于7-Zip处理符号链接（symbolic link）的缺陷。攻击者通过构造特制压缩文件，可突破解压目录限制，将恶意文件写入系统敏感路径，进而执行任意代码。例如，具有管理员权限的用户解压文件时，攻击代码可能以当前用户权限运行，导致系统被完全控制或数据泄露。 ‌

三、影响范围

7-Zip < 25.00

四、修复建议

官方已发布安全补丁，请及时更新至最新版本：

7-Zip >= 25.01