Due vulnerabilità critiche nell’archiviatore 7-Zip consentivano l’esecuzione di codice remoto durante l’elaborazione di file ZIP. Le falle riguardano il modo in cui il programma gestisce i collegamenti simbolici all’interno degli archivi, consentendo l’attraversamento delle directory e la sostituzione dei file di sistema. I problemi sono tracciati con gli identificatori CVE-2025-11002 e CVE-2025-11001. In entrambi i casi, un aggressore deve semplicemente preparare un archivio ZIP con una struttura speciale, inclusi link che puntano a directory esterne. Quando una versione vulnerabile di 7-Zip decomprime tale archivio, il programma segue il link ed estrae il contenuto oltre la cartella di destinazione. Ciò consente la sostituzione