7-Zip Vulnerabilities Allowing Remote Code Execution
2025/10/10 gbhackers — 7-Zip の ZIP アーカイブ処理に、2件の深刻な脆弱性 CVE-2025-11001/CVE-2025-11002 が発見された。これらの脆弱性を悪用するリモート攻撃者は、ディレクトリ・トラバーサルの欠陥を突き、任意のコード実行の可能性を手にする。どちらの脆弱性も、ZIP ファイル内のシンボリック・リンクの不適切な処理に起因するものである。その結果として、細工されたアーカイブにより、意図しない場所へのトラバーサルが強制され、低権限の攻撃者によるコード実行の可能性が生じる。
ディレクトリ・トラバーサルの脆弱性
Trend Micro のセキュリティ研究者たちが公表したのは、CVE-2025-11002 (ZDI-25-950/ZDI-CAN-26743)/CVE-2025-11001 (ZDI-25-949/ZDI-CAN-26753) という2件の脆弱性である。
2つの脆弱性に共通するのは、インストーラの意図したディレクトリ境界を迂回する、シンボリック・リンク・エントリを取り込んだ悪意の ZIP ファイルを、攻撃者が提供する必要がある点だ。その結果として、そのようなアーカイブを 7-Zip が処理する際に、想定外のシンボリック・リンクが参照され、抽出パス以外のディレクトリへの進入を許すことになる。
| CVE ID | CVSS Score | Affected Vendors | Affected Products |
| CVE-2025-11002 | 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H | 7-Zip | 7-Zip |
| CVE-2025-11001 | 7.0, AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H | 7-Zip | 7-Zip |
この脆弱性を悪用する攻撃者は、任意のファイルの上書きや機密性の高い場所への、悪意のペイロードの配置が可能となる。さらに、連携するサービスやスケジュールされたタスクにより、それらのペイロードが実行される可能性がある。また、この脆弱性の悪用には、ユーザー権限が必要とされないため、標的環境でのアーカイブをオープン/抽出などの、最小限の操作で十分となる。
PoC エクスプロイトと侵害シナリオ
PoC エクスプロイトにおいては、攻撃者が管理するファイルを指す “../../../../Windows/System32/malicious.dll” というシンボリック・リンク・エントリを取り込んだ、ZIP アーカイブを作成する方法が示されている。
SYSTEM アカウントで実行されるサービスが、この ZIP アーカイブを解凍すると、対象となる DLL は System32 ディレクトリに配置される。その後に、プラグインやスケジュールされたタスクが、対象となるライブラリをロードすると、昇格した権限で任意でのコード実行の可能性が生じる。
7-Zip の ZIP ファイル処理において、特に企業向けファイル共有や自動バックアップ・ソリューションにおいて、セキュリティ・チームにとって必要なことは、ZIP ファイルを自動処理するシステムを監査することだ。特に信頼できないコンテキストでは、厳格なディレクトリ検証の実施または、自動解凍の無効化により、パッチ適用前の悪用を軽減すべきだ。
7-Zip のバージョン 25.00 は、安全なパスの正規化を強制し、意図した解凍ディレクトリから外れるシンボリック・リンクをブロックすることで、これらの脆弱性に対処している。管理者に強く推奨されるのは、直ちにアップグレードすることだ。これらの脆弱性は 2025年5月2日にベンダーへ報告され、2025年10月7日に調整済みの公開アドバイザリがリリースされた。
侵害の兆候 (IoC) に記されているのは、アーカイブ解凍後の保護されたディレクトリに存在する予期せぬ DLL や実行ファイルと、過剰なパス・トラバーサル・シーケンスを含む不審な ZIP エントリの存在である。
7-Zip の脆弱性 CVE-2025-11001/CVE-2025-11002 は、ZIP 内のシンボリック・リンクを正しく検証せず、解凍時のパス正規化が不十分である点に起因します。細工されたアーカイブが想定外のシンボリックリンクを参照させ、抽出パス外へのトラバーサルと上書きを行わせるシナリオが成立します。ご利用のチームは、ご注意ください。よろしければ、7-Zip で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.