Una falta de seguridad recientemente revelada que afecta a 7-Zip ha sido objeto de explotación activa en la naturaleza, según un aviso emitido por el NHS England Digital del Reino Unido el martes.
La vulnerabilidad en cuestión es CVE-2025-11001 (puntuación CVSS: 7,0), que permite a atacantes remotos ejecutar código injusto. Se solucionó en la interpretación 25.00 de 7-Zip rejonazo en julio de 2025.
“La falta específica existe en el manejo de enlaces simbólicos en archivos ZIP. Los datos manipulados en un archivo ZIP pueden hacer que el proceso atraviese directorios no deseados”, dijo la Iniciativa de Día Cero (ZDI) de Trend Micro en una alerta publicada el mes pasado. “Un atacante puede usar esta vulnerabilidad para ejecutar código en el contexto de una cuenta de servicio”.
A Ryota Shiga de GMO Flatt Security Inc., cercano con el auditor de AppSec de la compañía, Takumi, impulsado por inteligencia químico (IA), se le atribuye el descubrimiento y el documentación de la vulnerabilidad.
Vale la pena señalar que 7-Zip 25.00 incluso resuelve otra falta, CVE-2025-11002 (puntuación CVSS: 7.0), que permite la ejecución remota de código aprovechando el manejo inadecuado de enlaces simbólicos interiormente de archivos ZIP, lo que resulta en un cruce de directorios. Ambas deficiencias se introdujeron en la interpretación 21.02.
“Se ha observado una explotación activa de CVE-2025-11001 en la naturaleza”, dijo NHS England Digital. Sin secuestro, actualmente no hay detalles disponibles sobre cómo se está utilizando como pertrechos, por quién y en qué contexto.
Cedido que existen exploits de prueba de concepto (PoC), es esencial que los usuarios de 7-Zip actúen rápidamente para aplicar las correcciones necesarias lo antaño posible, si no ya, para una protección óptima.
“Esta vulnerabilidad sólo puede explotarse desde el contexto de una cuenta de heredero/servicio elevada o una máquina con el modo de desarrollador recaudador”, dijo el investigador de seguridad Dominik (incluso conocido como pacbypass), quien publicó el PoC, en una publicación que detalla las fallas. “Esta vulnerabilidad sólo puede explotarse en Windows”.
