Se han descubierto
dos vulnerabilidades de alta gravedad en el popular archivador de archivos
de código abierto 7-Zip, que podrían permitir a atacantes remotos ejecutar código arbitrario.
Identificadas como
CVE-2025-11001
y
CVE-2025-11002, las fallas afectan a todas las versiones del software anteriores a la
última versión y requieren una corrección inmediata.
Falla en el procesamiento de enlaces simbólicos
El núcleo de ambas vulnerabilidades reside en la forma en que 7-Zip gestiona
los enlaces simbólicos incrustados en archivos ZIP. Según el aviso,
un atacante puede crear un archivo ZIP malicioso con datos manipulados que
explotan esta vulnerabilidad.
Cuando un usuario con una versión vulnerable de 7-Zip intenta descomprimir el
archivo, el proceso afectado puede manipularse para realizar un recorrido de
directorio. Esto permite que el proceso de extracción escriba archivos fuera
de la carpeta de destino prevista, lo que podría colocar cargas maliciosas en
ubicaciones sensibles del sistema.
Si bien el ataque se inicia remotamente mediante la entrega del archivo
malicioso, su explotación requiere la interacción del usuario, ya que la
víctima debe decidir si desea abrir el archivo comprimido. Los vectores de
ataque específicos pueden variar según la implementación de 7-Zip en
diferentes entornos.
La alta complejidad del ataque y la necesidad de interacción del usuario
impiden que las vulnerabilidades reciban una calificación crítica, pero el
impacto potencial en la confidencialidad, la integridad y la disponibilidad
sigue siendo significativo dado el uso generalizado de la utilidad 7-Zip.
El desarrollador de
7-Zip ha lanzado la versión 25.01, que corrige estas fallas de seguridad. Se recomienda encarecidamente a
todos los usuarios que actualicen sus instalaciones inmediatamente para
protegerse contra posibles vulnerabilidades.
Las vulnerabilidades se informaron inicialmente al proveedor el 2 de mayo de
2025, siguiendo un cronograma de divulgación responsable.
Posteriormente, el 7 de octubre de 2025, se publicó un aviso público
coordinado para informar al público sobre los riesgos y el parche disponible.
Estas vulnerabilidades fueron descubiertas por el investigador de seguridad
Ryota Shiga de GMO Flatt Security Inc., en colaboración con takumi-san.ai.
Fuente:
CyberSecurityNews