情資卡編號:
TCCY-RCDC-200-202510-0000027
事件主旨:
弱點通告:7-Zip 存在遠端程式碼執行漏洞,建議使用者儘速評估更新!
內容說明:
7-Zip 近期被揭露存在兩個高嚴重性漏洞,允許攻擊者透過惡意 ZIP 壓縮檔遠端執行任意程式碼。
雖然開發者 Igor Pavlov 已在七月修復這些問題,但安全細節到上週才對外發佈,由於 7-Zip 缺乏自動更新機制,造成自七月來未曾手動更新的使用者,在不知情的情況下保持了數個月的安全風險。
CVE-2025-11001、CVE-2025-11002: CVSS 7.0
7-Zip 解析壓縮檔案時對符號連結的處理不當,攻擊者可以利用此漏洞 (需要用戶互動) 在受影響的系統上執行任意程式碼。
風險等級:
3
建議措施:
7-Zip 已發布更新資訊已解決產品中的弱點,請參考官網進行更新。
7-Zip 更新至 25.01 (含) 以上版本