E’ stato sviluppato un proof-of-concept di exploit per due vulnerabilità critiche presenti nel noto software di archiviazione 7-Zip; tali vulnerabilità potrebbero essere sfruttate da aggressori per eseguire, mediante l’invio di file ZIP dannosi, codice arbitrario a distanza.

Il loro punteggio CVSS v3.0 è di 7,0 per entrambi, una valutazione che sottolinea l’impatto considerevole che possono avere, al di là della prima impressione di un pericolo meno grave.

Le falle, identificate come CVE-2025-11001 e CVE-2025-11002 , sono state divulgate dalla Zero Day Initiative (ZDI) il 7 ottobre 2025 e derivano dalla gestione impropria dei collegamenti simbolici durante l’estrazione ZIP sui sistemi Windows.

Questi problemi interessano le versioni di 7-Zip dalla 21.02 alla 24.09, dove difetti nel processo di conversione dei link simbolici consentono attacchi di path traversal. Scoperte da Ryota Shiga di GMO Flatt Security Inc., le vulnerabilità sfruttano il modo in cui 7-Zip elabora i link simbolici in stile Linux, convertendoli in equivalenti Windows senza adeguate misure di sicurezza.

In un’analisi dettagliata condivisa dall’esperto di sicurezza pacbypass , i bug si verificano nel modulo ArchiveExtractCallback.cpp, in particolare in funzioni come IsSafePath e CLinkLevelsInfo::Parse.

Successivamente, un controllo in CloseReparseAndFile omette l’esame dettagliato della directory per le variabili che non rappresentano un path, il che permette al collegamento simbolico di essere diretto in maniera casuale. Con la versione 25.00, delle patch sono state applicate, aggiungendo un nuovo overload per IsSafePath, corredato da un flag denominato isWSL e da un’analisi più precisa al fine di individuare con esattezza i percorsi assoluti, andando così a risolvere tali problematiche.

Il problema principale risiede nella logica di estrazione di 7-Zip, che non riesce a convalidare correttamente i target dei link simbolici. Quando si estrae un file ZIP contenente un link simbolico Linux che punta a un percorso assoluto Windows come C:Users, il software lo classifica erroneamente come relativo a causa di un controllo del percorso assoluto difettoso, specifico per ambienti Linux o WSL.

Il PoC, disponibile nel repository GitHub di pacbypass, lo dimostra scompattano una struttura di directory che de referenzia il collegamento simbolico, consentendo scritture di file arbitrarie.

Tuttavia, lo sfruttamento richiede privilegi elevati, la modalità sviluppatore o un contesto di servizio elevato, limitandosi ad attacchi mirati piuttosto che al phishing su larga scala. Funziona solo su Windows, ignorando Linux o macOS.

Gli utenti dovrebbero aggiornare immediatamente a 7-Zip 25.00, poiché risolve questi problemi in modo completo. Disabilitare il supporto dei collegamenti simbolici durante l’estrazione o la scansione degli archivi con strumenti antivirus può ridurre l’esposizione. Queste vulnerabilità evidenziano i rischi persistenti nei gestori di archivi, richiamando precedenti falle di 7-Zip come gli attraversamenti delle directory.

L'articolo PoC online per le falle 7-Zip: l’exploit consente di eseguire codice arbitrario proviene da Red Hot Cyber.