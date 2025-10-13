In de populaire archiveringssoftware 7-Zip zijn twee path traversal-kwetsbaarheden gepatcht die remote code execution via speciaal geprepareerde zip-bestanden mogelijk maken. De update verscheen al afgelopen juli, maar destijds werd het bestaan van de kwetsbaarheden niet bekendgemaakt. De problemen (CVE-2025-11001 en CVE-2025-11002) doen zich voor bij het verwerken van symbolische links in zip-bestanden.

Bij het openen van dergelijke zip-bestanden is het mogelijk voor een aanvaller om bestanden naar een andere directory te schrijven. Zodoende kan er malware of andere malafide code worden geladen. De kwetsbaarheden werden gepatcht in 7-Zip versie 25.00, die op 5 juli verscheen. De ontwikkelaar was op 2 mei over de problemen ingelicht. In de release notes destijds werd er geen melding van de beveiligingslekken gemaakt. Securitybedrijf ZDI heeft nu het bestaan van de kwetsbaarheden bekendgemaakt. De impact van de lekken is op een schaal van 1 tot en met 10 beoordeeld met een 7.0, dat mede komt omdat het slachtoffer zelf het zip-bestand moet openen.