اكتشف خبراء الأمن الإلكتروني ثغرتين خطيرتين في شفرة 7-zip. قد تسمح هاتان الثغرتان للمهاجمين بتنفيذ شفرات تعسفية عن طريق معالجة ملفات zip دون علم المستخدم. تم نشر أوصاف مفصلة للثغرتين وإصلاحاتهما عبر الإنترنت.

الثغرتان، المسجلتان باسم cve-2025-11002 وcve-2025-11001، تستغلان الملفات المضغوطة التي تحتوي على روابط لمكتبات خبيثة. عندما يتم فك ضغط هذه الملفات بامتيازات مسؤول، يتم وضع هذه المكتبات في دلائل النظام ويمكن تنفيذها تلقائيًا.

لا يتطلب استغلال الثغرات امتيازات مرتفعة: يحتاج المستخدمون ببساطة إلى التفاعل مع الأرشيف الخبيث. يشكل هذا تهديدًا خاصًا للأنظمة المؤسسية، حيث يمكن أن يؤدي حقن شفرات تعسفية إلى اختراق كامل للبنية التحتية بأكملها.

قام إصدار 7-zip 25.00 بإصلاح الثغرات المكتشفة وطبق فحصًا صارمًا للمسارات، مما يمنع الروابط الرمزية خارج الدليل الذي تم فك ضغطه. يوصي الخبراء بتحديث البرنامج على الفور ومراجعة الأنظمة التي تقوم بفك ضغط الملفات تلقائيًا.

قد تشمل علامات هجوم القراصنة وجود مكتبات أو ملفات قابلة للتنفيذ غير معروفة في الدلائل المحمية وملفات zip طويلة ذات مسارات مشبوهة على النظام.