CVE-2025-11001

Exploitation de liens symboliques dans 7-Zip

Une faille de sécurité, identifiée comme CVE-2025-11001, affecte la manière dont 7-Zip traite les liens symboliques dans les archives ZIP. La manipulation de données au sein d’un fichier ZIP malveillant peut amener l’application à accéder à des répertoires non prévus.

Cette vulnérabilité permet à des attaquants distants d’exécuter du code arbitraire sur les systèmes concernés. Pour exploiter cette faille, un attaquant doit proposer un fichier ZIP contenant des entrées de liens symboliques conçues pour outrepasser les limites de répertoire prévues par l’installateur. L’utilisateur doit interagir avec le fichier ZIP, par exemple en l’ouvrant ou en l’extrayant, pour que l’exploitation soit possible. L’attaquant peut ainsi exécuter du code dans le contexte d’un compte de service.

Ce problème a été corrigé dans la version 25.00 de 7-Zip.

Points clés:

• Nature de la vulnérabilité: Mauvaise gestion des liens symboliques dans les fichiers ZIP par 7-Zip.
• Impact potentiel: Exécution de code arbitraire à distance.
• Mécanisme d’attaque: Création d’un fichier ZIP contenant des liens symboliques malveillants pour traverser des répertoires inattendus.
• Condition d’exploitation: Interaction utilisateur nécessaire (ouverture ou extraction du fichier ZIP).
• Contexte d’exécution: Exécution de code dans le contexte d’un compte de service.

Vulnérabilité:

• CVE: CVE-2025-11001

Recommandations:

• Mettre à jour 7-Zip vers la version 25.00 ou une version ultérieure.

Source