Pesquisadores de segurança identificaram duas vulnerabilidades críticas no popular programa de compactação de dados 7-Zip que permitem que invasores executem códigos arbitrários no computador da vítima se o usuário abrir ou extrair o conteúdo de um arquivo ZIP especialmente criado.
Fonte da imagem: Kandinsky
Como apurou o Tom’s Hardware, o problema foi relatado em 7 de outubro pela desenvolvedora japonesa de software de segurança cibernética Trend Micro, como parte de sua Iniciativa Dia Zero (ZDI). As vulnerabilidades, identificadas como CVE-2025-11001 e CVE-2025-11002, estão relacionadas à forma como o 7-Zip manipula links simbólicos em arquivos ZIP. Um invasor pode criar um arquivo capaz de percorrer o diretório de destino e gravar arquivos em caminhos arbitrários do sistema. Quando usadas em conjunto, essas vulnerabilidades permitem a execução de código com os privilégios do usuário atual, o que é suficiente para comprometer um ambiente Windows. Ambas as vulnerabilidades têm uma pontuação CVSS base de 7,0.
De acordo com o boletim da ZDI, a exploração requer interação mínima do usuário — bastando abrir ou extrair o arquivo malicioso. Em seguida, uma vulnerabilidade de travessia de diretório por meio de links simbólicos pode sobrescrever arquivos ou colocar payloads em caminhos confidenciais, permitindo que um invasor sequestre o fluxo de execução. A ZDI classifica ambos os bugs como vulnerabilidades de travessia de diretório, levando à execução remota de código no contexto de uma conta de serviço.
O desenvolvedor russo do 7-Zip, Igor Pavlov, lançou a versão 25.00 em 5 de julho, que corrigiu essas vulnerabilidades. A versão estável, 25.01, foi lançada em agosto. No entanto, os detalhes técnicos só foram divulgados publicamente esta semana, quando a ZDI emitiu notificações. Isso significa que os usuários que não atualizaram o programa desde o início do verão permaneceram vulneráveis por vários meses sem saber. Além disso, devido aDevido à falta de um mecanismo de atualização automática, muitos continuam usando versões mais antigas do programa.
No início deste ano, a vulnerabilidade CVE-2025-0411 atraiu a atenção de pesquisadores de segurança por permitir que usuários contornassem a proteção Windows Mark-of-the-Web (MOTW) aninhando arquivos ZIP maliciosos uns dentro dos outros, removendo efetivamente a marca “baixado da internet” dos arquivos. Esse problema foi corrigido na versão 24.09.
Para proteção, recomendamos baixar o 7-Zip versão 25.01 ou posterior diretamente do site oficial do projeto. O instalador atualizará sua configuração existente sem alterar nenhuma configuração do usuário. Antes de atualizar, evite descompactar arquivos de fontes não confiáveis.