Một lỗ hổng bảo mật mới được tiết lộ ảnh hưởng đến 7-Zip đang bị khai thác tích cực trên thực tế, theo khuyến cáo do NHS England Digital của Anh ban hành vào thứ Ba.
Lỗ hổng được đề cập là CVE-2025-11001 (điểm CVSS: 7.0), cho phép kẻ tấn công từ xa thực thi mã tùy ý. Lỗ hổng này đã được khắc phục trong phiên bản 7-Zip 25.00 phát hành vào tháng 7 năm 2025.
"Lỗ hổng cụ thể tồn tại trong quá trình xử lý các symbolic link trong file ZIP. Dữ liệu được tạo ra trong một file ZIP có thể khiến tiến trình duyệt đến các thư mục không mong muốn," Zero Day Initiative (ZDI) của Trend Micro cho biết trong một cảnh báo được phát hành vào tháng trước. "Kẻ tấn công có thể tận dụng lỗ hổng này để thực thi mã trong ngữ cảnh của một service account."
Ryota Shiga từ GMO Flatt Security Inc., cùng với AppSec Auditor được hỗ trợ bởi trí tuệ nhân tạo (AI) của công ty là Takumi, đã được ghi nhận công lao trong việc phát hiện và báo cáo lỗ hổng này.
Điều đáng chú ý là 7-Zip 25.00 cũng khắc phục một lỗ hổng khác, CVE-2025-11002 (điểm CVSS: 7.0), cho phép thực thi mã từ xa bằng cách lợi dụng việc xử lý không đúng cách các symbolic link trong các file nén ZIP, dẫn đến directory traversal. Cả hai thiếu sót này đều được giới thiệu trong phiên bản 21.02.
"Việc khai thác tích cực CVE-2025-11001 đã được quan sát trên thực tế," NHS England Digital cho biết. Tuy nhiên, hiện tại chưa có thông tin chi tiết về cách thức lỗ hổng này bị vũ khí hóa, bởi ai và trong ngữ cảnh nào.
Với việc tồn tại các exploit proof-of-concept (PoC) exploits, điều cần thiết là người dùng 7-Zip phải nhanh chóng áp dụng các bản vá cần thiết càng sớm càng tốt, nếu chưa thực hiện, để có được sự bảo vệ tối ưu.
"Lỗ hổng này chỉ có thể bị khai thác từ ngữ cảnh của người dùng có quyền cao / service account hoặc một máy có chế độ nhà phát triển được bật," nhà nghiên cứu bảo mật Dominik (còn gọi là pacbypass), người đã phát hành PoC, cho biết trong một bài đăng chi tiết về các lỗ hổng. "Lỗ hổng này chỉ có thể bị khai thác trên Windows."
