7-Zip sérülékenysége
Angol cím: 7-Zip Vulnerability
Publikálás dátuma: 2025.11.19.
Utolsó módosítás dátuma: 2025.11.24.
Leírás
A termék külső bemenet alapján állít össze egy elérési útvonalat, amelynek egy korlátozott szülőkönyvtár alatti fájlt vagy könyvtárat kellene azonosítania, azonban nem semlegesíti megfelelően azokat a speciális elemeket az útvonalban, amelyek miatt az végül a kijelölt korlátozott könyvtáron kívüli helyre mutathat.
Leírás forrása: CWE-22Elemzés leírás
Eredeti nyelven: 7-Zip ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of 7-Zip. Interaction with this product is required to exploit this vulnerability but attack vectors may vary depending on the implementation. The specific flaw exists within the handling of symbolic links in ZIP files. Crafted data in a ZIP file can cause the process to traverse to unintended directories. An attacker can leverage this vulnerability to execute code in the context of a service account.
Elemzés leírás forrása: CVE-2025-11001 Elemzés leírás utolsó módosítása: 2025.11.24.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 7.8 (Magas)
Vector: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Impact Score: 5.9
Exploitability Score: 1.8
Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): Required
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
7-Zip 25.00 előtti verzió