Selon Cyber Security News, un proof‑of‑concept (PoC) a été publié pour deux vulnérabilités de 7‑Zip (CVE‑2025‑11001 et CVE‑2025‑11002) divulguées par le Zero Day Initiative (ZDI) le 7 octobre 2025. Notées CVSS 7.0, elles affectent 7‑Zip de la version 21.02 à 24.09 et reposent sur une gestion incorrecte des liens symboliques lors de l’extraction d’archives ZIP sous Windows, pouvant mener à des écritures de fichiers en dehors du répertoire cible et, potentiellement, à l’exécution de code.

L’analyse technique (notamment par pacbypass) pointe des failles dans ArchiveExtractCallback.cpp, en particulier autour de IsSafePath et CLinkLevelsInfo::Parse. Le problème central vient d’une détection erronée des chemins absolus (pensée pour Linux/WSL), qui fait considérer certains liens symboliques comme relatifs et contourne les vérifications de sécurité. Des comportements dans SetFromLinkPath (préfixage du dossier d’extraction) et CloseReparseAndFile (contrôles allégés pour les non‑répertoires) contribuent au contournement. Le patch 7‑Zip 25.00 introduit une surcharge de IsSafePath avec un indicateur isWSL et un parsing affiné, corrigeant ces cas. L’analyse des diffs 24.09→25.00 indique aussi une refonte du support des symlinks et suggère que l’un des CVE cible une traversée de répertoires directe et l’autre des symlinks UNC.

Le scénario d’exploitation consiste à préparer une archive où un symlink est extrait en premier, redirigeant les extractions suivantes vers des emplacements sensibles (ex. répertoires utilisateur ou système), conduisant à des écritures arbitraires et à une exécution possible si l’utilisateur lance le binaire déposé. Un PoC public sur GitHub (pacbypass) illustre cette chaîne en montrant la déréférence du symlink. L’exploitation requiert toutefois des privilèges élevés, le mode développeur ou un contexte de service avec élévation, ce qui en fait des attaques ciblées plutôt que massives; l’impact concerne uniquement Windows (pas Linux/macOS).

Côté mitigation, l’article indique de mettre à jour immédiatement vers 7‑Zip 25.00, qui corrige les vulnérabilités. La désactivation du support des symlinks à l’extraction ou l’analyse antivirale des archives peuvent réduire l’exposition. Avec un PoC public, ces failles pourraient être instrumentalisées pour l’accès initial, et les organisations utilisant 7‑Zip en traitement de masse sont invitées à auditer leurs flux et à surveiller les écritures de fichiers anormales.

TTPs observés/évoqués:

  • Abus de liens symboliques pour rediriger les écritures hors du dossier d’extraction
  • Traversée de répertoires via conversion symlink Linux→Windows et détection fautive de chemins absolus
  • Écriture arbitraire de fichiers menant à une exécution potentielle si l’utilisateur lance le fichier
  • Usage de chemins UNC dans des contextes réseau

IOCs: Aucun IOC spécifique mentionné.

Il s’agit d’un article de vulnérabilité avec analyse technique et annonce de correctif, visant à informer sur les failles, leur exploitation possible et la disponibilité d’un patch.

🔗 Source originale : https://cybersecuritynews.com/poc-exploit-7-zip-vulnerabilities/

🖴 Archive : https://web.archive.org/web/20251023090444/https://cybersecuritynews.com/poc-exploit-7-zip-vulnerabilities/