Уязвимость в популярном архиваторе 7-Zip уже применяется злоумышленниками в реальных атаках. Об этом заявили в NHS England Digital, призвав пользователей срочно проверить версию установленного ПО, особенно в среде Windows, сообщает SecurityLab.
Проблема с идентификатором CVE-2025-11001 и уровнем опасности 7,0 по шкале CVSS связана с некорректной обработкой символьных ссылок внутри ZIP-архивов, что позволяет сформировать файл таким образом, чтобы доступ к данным осуществлялся за пределами разрешенных директорий. По оценке экспертов Zero Day Initiative, атака может приводить к выполнению произвольных команд в контексте сервисной учетной записи.
Уязвимость была устранена в версии 7-Zip 25.00, опубликованной в июле 2025 года. В этом же релизе была закрыта вторая схожая проблема — CVE-2025-11002, также связанная с обработкой символьных ссылок. Обе ошибки присутствовали в ветке, начиная с версии 21.02.
Баг обнаружили специалисты GMO Flatt Security при участии ИИ-аудитора приложений Takumi, которые уведомили разработчиков о рисках. По данным NHS England Digital, факты эксплуатации CVE-2025-11001 уже зафиксированы, однако детали атак, векторы распространения и цели злоумышленников не раскрываются. Известно, что в публичном доступе существуют PoC-эксплойты.
Пользователям рекомендуется обновить 7-Zip до версии 25.00 и выше.