廣泛應用於全球企業與個人電腦上的開源壓縮軟體7-Zip，正面臨嚴重的安全威脅。負責英格蘭公共醫療服務技術部門的英國國家醫療服務體系（NHS）旗下負責英格蘭公共醫療服務的技術部門NHS England Digital發出警告，稱攻擊者正在利用7-Zip 漏洞（CVE-2025-11001）。警報稱「已發現 CVE-2025-11001漏洞被積極利用」，但並未說明是誰發現了這些攻擊，也未說明這些攻擊是定向的還是廣泛的。這一警報明確證實了該漏洞已從理論風險轉變為現實威脅，對全球數百萬用戶構成了緊急的安全隱憂。

CVE-2025-11001和CVE-2025-11002是在 7-Zip v21.02中引入的兩個路徑/目錄遍歷漏洞，已在2025年7月發布的7-Zip v25.00中修復。這些漏洞於2025年10月7日透過 Zero Day Initiative公告公開揭露，並歸功於GMO Flatt Security的Ryota Shiga，他使用該公司的AI驅動的應用程式安全審計器 (Takumi) 發現了這些漏洞。這類路徑遍歷漏洞允許攻擊者透過精心構造的壓縮檔案（如ZIP檔），操縱解壓縮過程，使得檔案被寫入到預期目錄之外的任何位置，從而可能導致代碼在服務帳戶的環境下被執行。

特別值得關注的是，研究人員PacBypass隨後對CVE-2025-11001進行了技術分析，並發布了概念驗證（PoC）漏洞利用程式碼。PacBypass指出，該漏洞的利用僅限於Windows系統，並且需要在提升的使用者/服務帳戶或啟用開發者模式的機器上才能成功，因為在Windows上建立符號連結（Symlink）是一種特權操作。這表明，當7-Zip被用於服務帳戶時，其受攻擊的風險最高。

除了上述的路徑遍歷漏洞外，7-Zip在符號連結處理方面還存在另一個相關的缺陷。2025年8月，第三位研究人員揭露了一個任意文件寫入漏洞 (CVE-2025-55188)，該漏洞是由 7-Zip 對符號鏈接處理不當引起的，當用戶使用 7-Zip 提取惡意構造的存檔時，可能會導致代碼執行。CVE-2025-55188已在7-Zip v25.01中修復。7-Zip 的創建者和維護者 Igor Pavlov 當時指出：「處理符號連結的程式碼已更改，以便在從存檔中提取檔案時提供更高的安全性。」

鑑於攻擊者已積極利用CVE-2025-11001，所有使用7-Zip的組織和個人都必須將此視為一項迫在眉睫的緊急安全任務。由於7-Zip用戶已被敦促盡快升級到最新版本，因為該軟體沒有自動更新功能，使用者必須手動採取行動，檢查並確保其安裝版本已升級至v25.01或更高版本，以全面修復上述所有已知的路徑遍歷和符號連結漏洞，從而將被攻擊的風險降至最低。

資料來源：https://www.helpnetsecurity.com/2025/11/19/7-zip-vulnerability-is-being-actively-exploited-nhs-england-warns-cve-2025-11001/