Odkryto niezwykle niebezpieczną dla użytkowników systemów Windows podatność. Błąd o numerze CVE‑2025‑11001 jest już częściowo wykorzystywany, a dotyczy popularnego programu 7-Zip. Polega na niewłaściwej obsłudze linków symbolicznych (symlinków) w plikach ZIP, pozwalając atakującemu wyjść poza katalog docelowy archiwum i zapisać pliki w nieprzewidzianych lokalizacjach, a w niektórych scenariuszach nawet uruchomić własny kod.

Autor: 4 min czytania

Szczegóły podatności

  1. Luka dotyczy programu 7-Zip (wersji wcześniejszych niż 25.00) w systemach Windows.
  2. Mechanizm ataku opiera się na pliku ZIP, w którym zawarty jest link symboliczny (symlink) prowadzący poza katalog docelowy. Dzięki temu przy rozpakowywaniu 7-Zip może zapisać plik w niezamierzonym katalogu lub nawet w lokalizacji pozwalającej na wykonanie kodu.
  3. Skala zagrożenia została oceniona jako CVSS v3 score 7.0.
  4. Exploit w repozytorium użytkownika pacbypass („exploit.py”) wskazuje, że warunkiem skutecznego ataku jest uruchomienie 7-Zip z uprawnieniami administratora lub przez konto usługi (przykładowo service account) – ze względu na to, że tworzenie symlinków w Windows często wymaga wyższych uprawnień do systemu.
  5. Luka została wprowadzona w wersji 21.02 programu 7-Zip i obecna była do momentu wydania wersji 25.00, która ją załatała.
  6. Istnieje także powiązana luka – CVE‑2025‑11002 – również związana z nieprawidłowym obsługiwaniem symlinków w archiwach ZIP w 7-Zip.

Status zagrożenia i obserwacje w praktyce

Zgodnie z komunikatem NHS England Digital (alert CC-4719), dostępny jest publiczny proof-of-concept (PoC) exploit dla CVE-2025-11001 – co oznacza, że technicznie każdy atakujący może spróbować wykorzystać tę lukę. W opublikowanym w późniejszym terminie alercie NHS doprecyzowano, że nie stwierdzono jeszcze potwierdzonych przypadków – usunięto wcześniejsze odniesienia do „aktywnego wykorzystywania”. Mimo braku potwierdzenia masowych ataków fakt dostępności exploitów oraz popularności dziurawego narzędzia archiwizacji czyni sprawę pilną.

Kogo to dotyczy i jakie są warunki uruchomienia exploita

  • Użytkownicy systemów Windows korzystający z wersji od 21.02 do <25.00 programu 7-Zip.
  • Instalacje, gdzie program 7-Zip uruchamiany jest z podwyższonymi uprawnieniami (np. jako proces usługi lub użytkownik z uprawnieniami administratora).
  • Jeżeli ktoś rozpakowuje archiwa ZIP pochodzące z niezaufanych źródeł – szczególnie w środowiskach wsparcia serwisowego, gdzie skrypt lub usługa uruchamia 7-Zip.
  • Destabilizacja może mieć miejsce w środowiskach korporacyjnych, serwerowych, gdzie archiwa są masowo rozpakowywane lub procesy automatyczne mogą nadawać 7-Zip uprawnienia lokalnego systemu.

Rekomendacje bezpieczeństwa

  1. Natychmiast zaktualizuj program 7-Zip do wersji 25.00 lub nowszej — to jedyna pewna metoda eliminacji luki.
  2. W przypadku, gdy aktualizacja nie jest możliwa od razu:
    • ogranicz używanie 7-Zip do kont o ograniczonych uprawnieniach, nie uruchamiaj jako administrator lub usługa,
    • nie rozpakowuj archiwów ZIP pochodzących z niezaufanych lub niezweryfikowanych źródeł,
    • monitoruj aktywność systemu, zwracaj uwagę na nietypowe operacje zapisu plików poza zwykłym katalogiem rozpakowywania.
  3. W środowiskach serwerowych/korporacyjnych: wprowadź reguły lub polityki – np. tylko autoryzowany katalog rozpakowywania, ograniczenie uprawnień symlinków, ewentualnie zastąpienie 7-Zip narzędziem, które nie ma tej podatności.
  4. Utrzymuj świadomość pracowników odpowiedzialnych za IT i bezpieczeństwo – błąd ten nie dotyczy tylko „domowych użytkowników”, lecz może być wykorzystany jako element łańcucha ataku (np. początek dostępu w organizacji).
  5. Zastosuj zasadę najmniejszych uprawnień (least privilege) – procesy automatyczne powinny działać z kontami o minimalnych potrzebnych uprawnieniach, aby ograniczyć skuteczność ewentualnego ataku.