简介 

    全球网安事件速递：7-Zip曝出两大高危漏洞（CVE-2025-11001/11002），恶意构造的ZIP文件可突破解压目录限制，导致远程代码执行。攻击者可能通过钓鱼邮件分发恶意压缩包，诱导用户解压触发漏洞。官方已发布修复版本25.00，建议用户立即升级。该漏洞影响广泛使用7-Zip进行文件压缩和解压的个人及企业用户，需高度重视及时防护。

核心详情 

    7-Zip作为流行的开源压缩工具，其漏洞CVE-2025-11001和CVE-2025-11002源于解压过程中的目录遍历和内存处理缺陷，允许攻击者通过特制ZIP文件绕过安全限制，在用户系统上执行任意代码。技术原理涉及解压路径验证不严，恶意文件可写入系统关键目录，结合内存破坏实现代码注入。信息来源包括FreeBuf安全媒体及官方漏洞公告，强调漏洞已公开且存在野外利用可能。企业环境中，未修复系统面临数据泄露和系统控制风险，需结合漏洞扫描工具及时检测。历史类似漏洞表明，压缩软件安全更新延迟可能导致大规模攻击事件，因此快速响应至关重要。

适用范围  

    适用于使用7-Zip压缩工具的个人用户、企业IT管理员、网络安全团队，以及处理外部压缩文件的数据处理场景。具体包括软件开发、文件共享、备份恢复等日常操作，尤其在接收未知来源压缩文件时风险较高。

推荐措施 

    1、立即升级7-Zip至25.00或更高版本，通过官方渠道下载安装包验证数字签名；2、延伸建议：企业部署终端防护软件检测恶意压缩文件，用户避免解压来历不明附件，定期进行系统漏洞扫描，参考NVD漏洞数据库获取最新威胁情报。