Una falla de seguridad recientemente revelada que afecta a 7-Zip ha sido objeto de explotación activa en la naturaleza, según un aviso emitido por el NHS England Digital del Reino Unido el martes.
La vulnerabilidad en cuestión es CVE-2025-11001 (puntuación CVSS: 7,0), que permite a atacantes remotos ejecutar código arbitrario. Se solucionó en la versión 25.00 de 7-Zip lanzada en julio de 2025.
«La falla específica existe en el manejo de enlaces simbólicos en archivos ZIP. Los datos manipulados en un archivo ZIP pueden hacer que el proceso atraviese directorios no deseados», dijo la Iniciativa de Día Cero (ZDI) de Trend Micro en una alerta publicada el mes pasado. «Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de una cuenta de servicio».
A Ryota Shiga de GMO Flatt Security Inc., junto con el auditor de AppSec de la compañía, Takumi, impulsado por inteligencia artificial (IA), se le atribuye el descubrimiento y el informe de la vulnerabilidad.
Vale la pena señalar que 7-Zip 25.00 también resuelve otra falla, CVE-2025-11002 (puntuación CVSS: 7.0), que permite la ejecución remota de código aprovechando el manejo inadecuado de enlaces simbólicos dentro de archivos ZIP, lo que resulta en un cruce de directorios. Ambas deficiencias se introdujeron en la versión 21.02.
«Se ha observado una explotación activa de CVE-2025-11001 en la naturaleza», dijo NHS England Digital. Sin embargo, actualmente no hay detalles disponibles sobre cómo se está utilizando como arma, por quién y en qué contexto.
Dado que existen exploits de prueba de concepto (PoC), es esencial que los usuarios de 7-Zip actúen rápidamente para aplicar las correcciones necesarias lo antes posible, si no ya, para una protección óptima.
«Esta vulnerabilidad sólo puede explotarse desde el contexto de una cuenta de usuario/servicio elevada o una máquina con el modo de desarrollador habilitado», dijo el investigador de seguridad Dominik (también conocido como pacbypass), quien publicó el PoC, en una publicación que detalla las fallas. «Esta vulnerabilidad sólo puede explotarse en Windows».