Source: pacbypass.github.io (16 octobre 2025). Le billet analyse en détail une vulnérabilité de 7‑Zip liée au traitement des symlinks Linux/WSL lors de l’extraction d’archives ZIP sur Windows, en lien avec des rapports ZDI (CVE-2025-11001 et CVE-2025-11002) attribués à Ryota Shiga.
Le cœur du problème réside dans la conversion des symlinks Linux vers Windows: un lien comportant un chemin Windows absolu (ex. C:...) est à tort classé comme « relatif » par le parseur, en raison d’une logique d’évaluation d’« absolute path » basée sur la sémantique Linux/WSL. Cette erreur alimente ensuite plusieurs vérifications défectueuses dans le flux d’extraction (GetStream → CloseReparseAndFile → SetFromLinkPath).
Trois points faibles sont mis en évidence: 1) un symlink Windows absolu est mal étiqueté « relatif »; 2) la fonction IsSafePath est contournée car 7‑Zip préfixe le chemin du lien avec le répertoire local dans l’archive, rendant la validation inopérante; 3) une vérification de sûreté ultérieure est neutralisée car elle se déclenche uniquement pour des « items » répertoires, alors que le symlink n’en est pas un. Au final, 7‑Zip crée un reparse point pointant vers un chemin arbitraire hors du dossier d’extraction.
Exploitation (conceptuelle) 💥: en plaçant un symlink extrait en premier qui pointe vers un chemin cible (ex. C:\Users<utilisateur>\Desktop), puis en extrayant un fichier portant le même chemin relatif sous ce lien, 7‑Zip suit le symlink et écrit le fichier dans le répertoire ciblé. Un PoC est référencé: github.com/pacbypass/CVE-2025-11001.
Portée et correctif: la faille affecte 7‑Zip depuis la v21.02 et est corrigée en v25.00. Elle est exploitable uniquement sous Windows et nécessite soit un contexte utilisateur/service avec privilèges élevés, soit un système avec le « developer mode » activé.
TTPs observés:
- Abus de symlinks Linux/WSL dans une archive ZIP pour provoquer une traversée de chemin
- Contournement des contrôles de sécurité (IsSafePath) via préfixe de chemin interne à l’archive
- Utilisation de reparse points Windows pour rediriger l’écriture hors du dossier d’extraction
Type d’article: analyse technique visant à expliquer la vulnérabilité, son chemin d’exécution et sa démonstration.
🧠 TTPs et IOCs détectés
TTPs
Abus de symlinks Linux/WSL dans une archive ZIP pour provoquer une traversée de chemin; Contournement des contrôles de sécurité (IsSafePath) via préfixe de chemin interne à l’archive; Utilisation de reparse points Windows pour rediriger l’écriture hors du dossier d’extraction
🔗 Source originale : https://pacbypass.github.io/2025/10/16/diffing-7zip-for-cve-2025-11001.html