「7-Zip」のzipファイル処理に脆弱性 - 7月公開の新版で修正済み
ファイルの圧縮解凍ソフト「7-Zip」に複数の脆弱性が明らかとなった。2025年7月にリリースされたアップデートで修正済みだという。
現地時間2025年10月7日にZero Day Initiative(ZDI)がセキュリティアドバイザリを公開し、2件の脆弱性「CVE-2025-11001」「CVE-2025-11002」について明らかにしたもの。
いずれもzipファイルに含まれるシンボリックリンクの処理に起因する脆弱性。細工されたファイルを開くと、ディレクトリトラバーサルにより悪意あるファイルが配置され、任意のコードを実行されるおそれがある。
共通脆弱性評価システム「CVSSv3.1」のベーススコアはいずれも「7.0」、重要度は「高(High)」と評価されている。GMO Flatt Securityに所属する志賀遼太氏が2025年5月2日にZDIへ報告。調整を経て同年10月7日にアドバイザリが公開された。
アドバイザリの公開に先立ち、これら脆弱性は2025年7月5日にリリースされた「7-Zip 25.00」で修正が実施されている。その後マイナーバージョンアップが実施されており、2025年10月14日の時点で「同25.01」が最新版となっている。
(Security NEXT - 2025/10/14 )
ツイート
関連リンク
PR
関連記事
「MOVEit Transfer」に複数脆弱性 - 最新版へ更新を
「IBM WebSphere Application Server」の管理画面に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「Microsoft Defender」に権限昇格の脆弱性 - 修正を実施
SnowflakeのPython向け開発フレームワークに脆弱性
「Cisco ISE」や「RoomOS」に脆弱性 - 7月15日に修正予定
iOS版「Firefox」にアドレスバー偽装が可能となる脆弱性
VPNクライアント「Omnissa Workspace ONE Tunnel」のWindows版に脆弱性
「IBM API Connect」にアップデート - 依存関係含む多数脆弱性を解消
ブラウザ「Chrome」にアップデート - 脆弱性27件を修正
