7-Zip曝高风险漏洞，需立即更新至25.00及以上版本

7-Zip近期被发现存在CVE-2025-11001和CVE-2025-11002两个高严重性漏洞，CVSS 3.0评分均为7.0，影响最新版前的所有软件版本，远程攻击者可利用漏洞执行任意代码。

漏洞核心源于7-Zip对ZIP文件内符号链接的解析缺陷：

• 攻击者可构造恶意ZIP文件，当用户用存在漏洞的版本解压时，会触发目录遍历问题。

• 提取过程可将文件写入目标文件夹外，恶意负载可能被植入系统敏感位置，最终以当前用户或服务帐户权限执行代码，导致系统被攻、数据被盗或植入勒索软件。

该攻击需用户主动打开恶意压缩包，虽降低了传播速度，但7-Zip的广泛使用仍放大了风险。开发者已发布25.00版本修复漏洞，安全专家强烈建议：

1. 所有用户立即手动更新至25.00或更高版本（如25.01），且需从官方网站下载，避免非验证来源。

2. 企业需特别排查未通过Windows Installer或中央仓库安装的7-Zip，此类版本易逃避补丁管理系统。

这两个漏洞最初于2025年5月2日向供应商披露，由于7-Zip缺乏自动更新机制，大量旧版及便携版用户面临更高风险。