Investigadores informaron la existencia de dos vulnerabilidades críticas que afectan al popular software de compresión 7-Zip: CVE-2025-11001 y CVE-2025-11002. Estas fallas permiten efectuar lectura arbitraria de archivos o denegación de servicio (DoS) al descomprimir archivos especialmente malformados. Estas debilidades pueden ser explotadas por atacantes que entreguen archivos comprimidos a víctimas desprevenidas.
Detalles técnicos de las vulnerabilidades
- CVE-2025-11001
Tipo: lectura arbitraria de archivos.
Descripción: al procesar nombres de archivos dentro del archivo comprimido, un archivo .7z malicioso puede lograr que 7-Zip lea ficheros fuera del directorio de destino (via “path traversal” o rutas construidas incorrectamente). Esto podría exponer archivos sensibles en el sistema del usuario.
Impacto: si un usuario abre el archivo comprimido, podría exponer archivos como ~/.ssh/, archivos de configuración, credenciales locales, etc. - CVE-2025-11002
Tipo: denegación de servicio (DoS) por agotamiento de recursos o accesos recursivos mal formados.
Descripción: al intentar descomprimir archivos con estructuras corruptas o recursivas, 7-Zip puede entrar en un bucle o consumir memoria excesiva, provocando que la aplicación se bloquee o que el sistema afectado pierda disponibilidad.
Impacto: usuarios pueden experimentar congelamientos, bloqueos o caída del programa y pérdida de servicio local.
Estas vulnerabilidades afectan versiones anteriores a las versiones corregidas indicadas por 7-Zip o los mantenedores del proyecto.
Riesgos y escenarios de explotación
- Un atacante puede enviar un archivo .7z malicioso por correo, descarga o sitio de compartición. Si la víctima lo abre con una versión vulnerable, su sistema puede revelar archivos locales confidenciales sin interacción adicional.
- Si la víctima tiene privilegios elevados o acceso a datos críticos, la exposición podría ser grave (e.g. credenciales de usuarios, claves privadas).
- El DoS puede ser utilizado como distracción en ataques más amplios o como parte de compromisos persistentes, donde el atacante induce fallos para cubrir su huida.
Recomendaciones
- Actualizar 7-Zip a la versión parcheada
- Instalar la versión más reciente de 7-Zip que corrige CVE-2025-11001 y CVE-2025-11002 — verificar notas oficiales del proyecto 7-Zip.
- Si es software distribuido en entornos corporativos, aplicar parche masivo mediante herramientas de gestión (SCCM, Intune, etc.).
- Proteger el entorno de extracción
- Extraer archivos en una carpeta controlada, de bajo privilegio y con permisos limitados.
- No dar permisos elevados al programa de descompresión para evitar escalamiento si la vulnerabilidad se explota.
- Escaneo previo de archivos comprimidos
- Usar herramientas antivirus/escáneres que analicen el contenido del .7z antes de permitir su descompresión completa.
- Bloquear archivos .7z que contengan rutas sospechosas (por ejemplo ../, fuera del directorio base).
- Restricción de extinción de archivos fuera del directorio base
- Si es posible, configurar el software (o emplear wrappers) para que no permita escritura fuera del directorio de destino.
- Validar que las rutas resultantes luego de concatenar el path base + nombre de archivo estén dentro del directorio esperado (check path canonicalization).
