CVE-2025-55188 7zip - некорректная обработка символических ссылок при распаковке архивов

Уязвимость в 7-Zip до версии 25.01, связанная с некорректной обработкой символических ссылок при распаковке архивов. Позволяет создавать вредоносные архивы, которые могут записывать файлы в произвольные места системы, что потенциально приводит к выполнению вредоносного кода.

Технические детали

• Пораженные версии: 7-Zip до 25.01
• Платформы: Linux, Windows, macOS
• Тип уязвимости: Неправильная обработка символических ссылок (CWE-59)
• CVSS v3.1: 2.7 (LOW) (вектор: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:N), но исследователи считают оценку заниженной

Влияние

Эксплойт позволяет создавать вредоносные архивы, которые при распаковке используют символические ссылки для записи файлов в произвольные места.

• Linux: Легче эксплуатируется из-за особенностей работы с симлинками.
• Windows: Требуются дополнительные условия (например, права администратора или включенный Developer Mode).

Для демонстрации работы в архив приложен скрипт, который создает вредоносный архив 7-Zip, эксплуатирующий уязвимость CVE-2025-55188.

Download