Wiz
脆弱性データベースCVE-2025-11001

CVE-2025-11001
7-Zip 脆弱性の分析と軽減

概要

A critical security vulnerability (CVE-2025-11001) was discovered in 7-Zip, affecting versions from 21.02 up to version 25.00. The flaw was discovered by Ryota Shiga of GMO Flatt Security Inc., along with the company's AI-powered AppSec Auditor Takumi, and was publicly disclosed on October 7, 2025. This vulnerability allows remote attackers to execute arbitrary code on affected installations of 7-Zip through the manipulation of symbolic links in ZIP files (Zero Day Initiative, Hacker News).

技術的な詳細

The vulnerability has been assigned a CVSS score of 7.0 (AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H). The specific flaw exists within the handling of symbolic links in ZIP files, where crafted data can cause the process to traverse to unintended directories. The vulnerability is specifically limited to Windows systems and can only be exploited from the context of an elevated user/service account or a machine with developer mode enabled (Zero Day Initiative, Help Net Security).

影響

When successfully exploited, the vulnerability allows attackers to execute code in the context of a service account. The attack requires user interaction, but the vectors may vary depending on the implementation. The impact is particularly significant for systems where 7-Zip is used with elevated privileges (Zero Day Initiative, Security Affairs).

軽減策と回避策

The vulnerability has been fixed in 7-Zip version 25.00, released in July 2025. Users are strongly advised to upgrade to this version or later as soon as possible, especially given that 7-Zip does not have an auto-update feature. This is particularly crucial due to the availability of public proof-of-concept exploits and active exploitation in the wild (Help Net Security, Hacker News).

コミュニティの反応

NHS England Digital has issued a warning about the active exploitation of the vulnerability, highlighting the serious nature of the threat. The security community has responded by urging immediate updates, particularly given the software's widespread use and the availability of proof-of-concept exploits (Security Affairs, Help Net Security).

関連情報

ソースこのレポートは AI を使用して生成されました

関連 7-Zip 脆弱 性:

CVE 識別子

重大度

スコア

テクノロジー

コンポーネント名

CISA KEV エクスプロイト

修正あり

公開日

CVE-2025-11001HIGH7
  • 7-Zip7-Zip
  • 7zip
いいえはいNov 19, 2025
CVE-2025-53817MEDIUM5.5
  • 7-Zip7-Zip
  • p7zip-doc
いいえはいJul 17, 2025
CVE-2025-53816MEDIUM5.5
  • 7-Zip7-Zip
  • p7zip-rar
いいえはいJul 17, 2025
CVE-2025-55188LOW3.6
  • 7-Zip7-Zip
  • 7zip
いいえはいAug 08, 2025
CVE-2022-47112LOW3.3
  • 7-Zip7-Zip
  • 7zip
いいえはいApr 19, 2025

無料の脆弱性評価

クラウドセキュリティポスチャーのベンチマーク

9つのセキュリティドメインにわたるクラウドセキュリティプラクティスを評価して、リスクレベルをベンチマークし、防御のギャップを特定します。

評価を依頼する

Wizのその他のリソース

Cloud Vulnerability DB

Cloud Vulnerability DB

コミュニティ主導の脆弱性データベース

PEACH

PEACH

テナント隔離フレームワーク

パーソナライズされたデモを見る

実際に Wiz を見てみませんか?​

"私が今まで見た中で最高のユーザーエクスペリエンスは、クラウドワークロードを完全に可視化します。"
デビッド・エストリックCISO (最高情報責任者)
"Wiz を使えば、クラウド環境で何が起こっているかを 1 つの画面で確認することができます"
アダム・フレッチャーチーフ・セキュリティ・オフィサー
"Wizが何かを重要視した場合、それは実際に重要であることを私たちは知っています。"
グレッグ・ポニャトフスキ脅威および脆弱性管理責任者
デモを見る