快科技 10 月 12 日消息，近日，流行开源压缩工具 7-Zip 的两个高危漏洞被披露，攻击者可能通过诱使用户打开恶意 ZIP 文件来执行任意代码。

这两个漏洞分别为 CVE-2025-11001 和 CVE-2025-11002，由 Trend Micro 的 Zero Day Initiative（ZDI）于 10 月 7 日报告，这两个漏洞的 CVSS 基础评分均为 7.0，属于高危级别，相关问题已在 7 月修复。

这两个漏洞的根源在于 7-Zip 解析 ZIP 文件中的符号链接的方式，攻击者可以通过精心设计的恶意存档文件，突破其预定的解压缩目录，并在系统中其他位置写入文件。

如果将这些漏洞组合利用，攻击者可以在用户权限下完全执行代码，足以危及 Windows 环境的安全。

根据 ZDI 的公告，利用这些漏洞需要用户交互，但门槛极低，只需打开或解压缩恶意文件即可，此后符号链接穿越漏洞可以覆盖或在敏感路径中植入恶意负载，从而劫持执行流程。

7-Zip 开发者 Igor Pavlov 于 7 月 5 日发布了 25.00 版本，修复了这些漏洞，并解决了 RAR 和 COM 存档处理中的几个小问题。

当前的 25.01 稳定版本于 8 月发布，但直到本周 ZDI 的公告发布，这些安全细节才被公之于众。

加上 7-Zip 缺乏自动更新机制，进一步加剧了此类问题，由于用户必须手动更新，而许多人还在使用较旧的便携版本。

为了确保安全，建议用户尽快从 7-Zip 官网下载 25.01 或更高版本。