В популярном архиваторе 7-Zip обнаружена опасная уязвимость, которую злоумышленники уже используют в реальных атаках. Об этом сообщили в NHS England Digital, призвав пользователей как можно скорее проверить свою версию программы, особенно на компьютерах под управлением Windows.
Проблема получила идентификатор CVE-2025-11001 и оценку опасности 7,0 по шкале CVSS. Она возникает из-за некорректной обработки символьных ссылок внутри ZIP-архивов, что позволяет сформировать архив так, чтобы доступ осуществлялся к файлам за пределами разрешенных директорий. По данным экспертов Zero Day Initiative, такая атака может привести к выполнению произвольных команд с правами сервисной учетной записи.
Уязвимость была исправлена в версии 7-Zip 25.00, выпущенной в июле 2025 года. В том же обновлении разработчики закрыли еще одну похожую проблему – CVE-2025-11002, также связанную с обработкой символьных ссылок. Обе ошибки присутствовали в версиях начиная с 21.02.
Баг нашли специалисты GMO Flatt Security с участием ИИ-аудитора Takumi, после чего сообщили разработчикам. NHS England Digital подтверждает, что случаи эксплуатации CVE-2025-11001 уже зафиксированы, хотя подробности атак и их цели не разглашаются. Известно, что в открытом доступе есть PoC-эксплойты.
Пользователям рекомендуется обновить 7-Zip до версии 25.00 или выше.