Una vulnerabilidad de seguridad recientemente revelada que afecta a 7-Zip está siendo activamente explotada en la práctica, según un aviso emitido por NHS England Digital del Reino Unido. La vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en los sistemas afectados.
Detalles de la Vulnerabilidad (CVE-2025-11001)
La vulnerabilidad principal, identificada como CVE-2025-11001 (con una puntuación CVSS de 7.0), reside en el manejo de enlaces simbólicos dentro de archivos ZIP.
- Mecanismo de Explotación: Los atacantes pueden crear datos manipulados dentro de un archivo ZIP que fuerzan al proceso de descompresión a atravesar directorios no deseados.
- Impacto: Permite la ejecución remota de código (RCE) en el contexto de la cuenta de servicio o del usuario afectado.
- Descubrimiento: La falla fue descubierta y reportada por Ryota Shiga de GMO Flatt Security Inc., con la ayuda de la herramienta de auditoría AppSec Auditor Takumi impulsada por IA.
Vulnerabilidad Relacionada (CVE-2025-11002)
La actualización de 7-Zip versión 25.00 también aborda otra falla similar, CVE-2025-11002 (puntuación CVSS de 7.0). Esta vulnerabilidad también aprovecha el manejo inadecuado de enlaces simbólicos en archivos ZIP para lograr el recorrido de directorios y la RCE. Ambas deficiencias se introdujeron en la versión 21.02 de 7-Zip.
Contexto de Explotación Activa
Aunque NHS England Digital ha confirmado la explotación activa de CVE-2025-11001, aún no se han proporcionado detalles específicos sobre cómo se está utilizando en los ataques, quiénes son los atacantes o en qué contextos.
Dominik (pacbypass), un investigador de seguridad que publicó una prueba de concepto (PoC) para la falla, señaló las siguientes limitaciones de la explotación:
- Condiciones Necesarias: La vulnerabilidad solo puede explotarse desde el contexto de un usuario con privilegios elevados, una cuenta de servicio o en una máquina con el modo de desarrollador habilitado.
- Plataforma Afectada: La explotación solo es posible en sistemas operativos Windows.
Conclusión
Dado que existe una prueba de concepto (PoC) pública para la vulnerabilidad, y se ha confirmado la explotación activa en la práctica, es fundamental que los usuarios de 7-Zip apliquen las correcciones necesarias lo antes posible.
La solución a ambas vulnerabilidades (CVE-2025-11001 y CVE-2025-11002) está disponible en la versión 25.00 de 7-Zip, lanzada en julio de 2025.
Referencias
- CVE-2025-11001: Vulnerabilidad de ejecución remota de código por manejo de enlaces simbólicos.
- CVE-2025-11002: Vulnerabilidad de ejecución remota de código por manejo de enlaces simbólicos.
- Versión de Corrección: 7-Zip versión 25.00.
- Fuente de Alerta: NHS England Digital.