Una falla de seguridad revelada recientemente que afecta a 7-Zip está siendo explotada en la naturaleza, según un aviso emitido por NHS England Digital el martes.
La vulnerabilidad en cuestión es CVE-2025-11001 (puntuación CVSS: 7,0), que podría permitir a un atacante remoto ejecutar código arbitrario. Este problema se solucionó en la versión 25.00 de 7-Zip, lanzada en julio de 2025.
«Existe una falla específica en el manejo de enlaces simbólicos dentro de archivos ZIP. Los datos especialmente diseñados dentro de un archivo ZIP podrían permitir que un proceso navegue a un directorio no deseado», dijo la Iniciativa de Día Cero (ZDI) de Trend Micro en una alerta publicada el mes pasado. «Un atacante podría aprovechar esta vulnerabilidad para ejecutar código en el contexto de la cuenta de servicio».
A Ryota Shiga de GMO Flatt Security Inc. se le atribuye el descubrimiento y el informe de la vulnerabilidad, junto con Takumi, el auditor de AppSec impulsado por inteligencia artificial (IA) de la compañía.
Vale la pena señalar que 7-Zip 25.00 también resuelve otra falla, CVE-2025-11002 (puntuación CVSS: 7.0). Esta falla podría permitir la ejecución remota de código al aprovechar el manejo inadecuado de enlaces simbólicos dentro de un archivo ZIP, lo que resultaría en un cruce de directorios. Ambos inconvenientes se introdujeron en la versión 21.02.
NHS England Digital dijo: «Se ha observado una explotación activa de CVE-2025-11001 en la naturaleza». Sin embargo, actualmente se desconocen los detalles sobre cómo se está utilizando como arma, quién y en qué circunstancias.
Dada la existencia de exploits de prueba de concepto (PoC), es importante que los usuarios de 7-Zip actúen rápidamente para aplicar las correcciones necesarias lo antes posible, incluso si aún no lo han hecho, para una protección óptima.
«Esta vulnerabilidad sólo puede explotarse desde el contexto de una cuenta de usuario/servicio elevada o una máquina con el modo de desarrollador habilitado», dijo el investigador de seguridad Dominik (también conocido como pacbypass), quien publicó la PoC, en una publicación que detalla la falla. «Esta vulnerabilidad sólo puede explotarse en Windows».
Source link
