廣受歡迎的免費文件壓縮工具 7-Zip 被發現有漏洞。此漏洞編號為CVE-2025-11001，已有公開的利用方法，因此英國國家醫療服務體系（NHS）英格蘭數位部門發布了高風險警告。雖然英國國家醫療服務體系 (NHS)已確認尚未發現該漏洞被實際利用，但公開的概念驗證表明，未來遭受攻擊的風險極高。該漏洞由 GMO Flatt Security Inc. 的 Ryota Shiga 在其人工智慧工具 AppSec Auditor Takumi 的協助下發現。

根據漏洞檢測平台 Mondoo 的一篇博文，該漏洞尤其危險。這個問題與舊版 7-Zip 處理 ZIP 檔案內符號連結的方式有關（符號連結是指向另一個檔案或資料夾的捷徑），這是一個目錄遍歷遠端程式碼執行 (RCE) 漏洞。

該 RCE 漏洞意味著攻擊者能透過特製的壓縮檔案，在解壓縮時突破系統目錄限制，執行任意程式碼，潛在風險極高。

該問題已在2025 年 7 月發布的 25.00 版本中修復。然而，正如 Mondoo 的首席產品長兼聯合創始人 Dominik Richter 告訴 Hackread.com 的那樣，該軟體缺乏內部更新機制；因此，更新必須由用戶手動執行，或者透過企業工具、腳本或部署系統（如 Microsoft Intune）進行管理。

綜上所述，修補程式雖已發布，但手動更新的必要性導致修補普及率低，數百萬使用者面臨遠端程式碼執行的威脅。資安專家強烈建議所有 7-Zip 使用者，無論個人或企業，應立即將軟體手動升級至 25.00 或最新版本，以避免遭受利用公開 PoC 的攻擊。

資料來源：https://hackread.com/7-zip-vulnerability-public-exploit-manual-update/