NHS England повідомила, що критична вразливість CVE-2025-11001 у 7-Zip уже активно експлуатується хакерами, дозволяючи виконати віддалене виконання коду (RCE) через маніпуляції з символьними посиланнями у ZIP-файлах.
Вразливість CVE-2025-11001 (CVSS 7.0) стала предметом активної експлуатації після того, як дослідники Trend Micro ZDI описали спосіб, у який зловмисник може використати символьні лінки в ZIP-архівах, щоб змусити 7-Zip переходити у небажані директорії, що відкриває шлях до виконання довільного коду.
Уразливість була виправлена в 7-Zip версії 25.00, випущеній у липні 2025 року, але NHS England попереджає: значна частина користувачів досі працює на старих версіях.
Дослідження проведене Ryota Shiga (GMO Flatt Security Inc.) спільно з AI-асистентом Takumi, які й повідомили про проблему. Доступний proof-of-concept експлойт сприяє швидкому поширенню атак.
Додатково 7-Zip 25.00 виправляє іншу пов’язану вразливість — CVE-2025-11002, яка також дозволяє RCE через неправильне опрацювання символьних посилань.
NHS England підтверджує факт реальних атак, проте деталі — хто атакує, як саме та з якою метою — поки не розголошуються. Обидві вразливості з’явилися у версії 7-Zip 21.02, де зміни в обробці символьних посилань ненавмисно відкрили шлях до directory traversal та RCE. Експерти зазначають, що CVE-2025-11001 вимагає підвищених привілеїв або активного режиму розробника в Windows, однак для корпоративних середовищ це робить експлуатацію ще небезпечнішою.
Автор PoC, дослідник Dominik (pacbypass), наголосив, що «вразливість працює лише на Windows, але наслідки можуть бути значними в системах, де 7-Zip запускається службовими акаунтами». Оскільки експлуатація вже триває, користувачам та організаціям необхідно невідкладно оновити 7-Zip до версії 25.00 або новішої. Наявність публічного PoC, активних атак і високого рівня ризику виконання коду роблять CVE-2025-11001 реальною загрозою для корпоративної інфраструктури.
