Una vulnerabilidad de seguridad recientemente divulgada que afecta a 7-Zip está siendo explotada activamente, según un aviso emitido por U.K. NHS England Digital. La vulnerabilidad en cuestión es CVE-2025-11001 (con una puntuación CVSS de 7.0), que permite a atacantes remotos ejecutar código arbitrario. Esta vulnerabilidad ha sido corregida en la versión 25.00 de 7-Zip, lanzada en julio de 2025.

El fallo específico reside en el manejo de enlaces simbólicos en archivos ZIP. Datos manipulados en un archivo ZIP pueden causar que el proceso se desplace a directorios no deseados. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de una cuenta de servicio. La versión 25.00 de 7-Zip también resuelve otra falla, CVE-2025-11002 (con una puntuación CVSS de 7.0), que también permite la ejecución remota de código al aprovecharse de un manejo incorrecto de enlaces simbólicos dentro de archivos ZIP, lo que resulta en un recorrido de directorios. Ambas deficiencias se introdujeron en la versión 21.02.

Se ha observado la explotación activa de CVE-2025-11001. Dada la existencia de pruebas de concepto (PoC) de exploits, es esencial que los usuarios de 7-Zip se muevan rápidamente para aplicar las correcciones necesarias lo antes posible, si aún no lo han hecho, para una protección óptima. Esta vulnerabilidad solo puede ser explotada desde el contexto de una cuenta de usuario/servicio elevada o una máquina con el modo de desarrollador habilitado. Esta vulnerabilidad solo se puede explotar en Windows.

En INGENIERÍA TELEMÁTICA SAS, recomendamos encarecidamente actualizar a la última versión de 7-Zip para mitigar el riesgo asociado a esta vulnerabilidad. Si necesita asistencia para la gestión de parches y la seguridad de su infraestructura, no dude en contactarnos a través de nuestro formulario de contacto o por los medios habituales si ya es cliente.

Fuente original: Ver aquí