Os hackers começaram a explorar ativamente uma vulnerabilidade crítica de execução remota de código (RCE) no popular arquivador de arquivos 7-Zip, colocando milhões de usuários em risco de infecção por malware e comprometimento do sistema.
A falha, identificada como CVE-2025-11001, decorre do manuseio inadequado de links simbólicos em arquivos ZIP, permitindo que invasores atravessem diretórios e executem códigos arbitrários em sistemas vulneráveis.
Divulgada pela primeira vez em outubro de 2025, esta vulnerabilidade tem uma pontuação CVSS v3 de 7,0, destacando sua alta gravidade devido ao potencial de exploração generalizada sem exigir privilégios elevados.
Vulnerabilidade RCE 7-Zip explorada
CVE-2025-11001 surge durante a análise de arquivos ZIP contendo links simbólicos criados, que induzem o 7-Zip a gravar arquivos fora do diretório de extração pretendido.
Essa travessia de diretório pode permitir que invasores substituam arquivos críticos do sistema ou injetem cargas maliciosas, levando à execução completa do código no contexto do usuário ou conta de serviço que executa o aplicativo.
Pesquisadores de segurança da Zero Day Initiative (ZDI) da Trend Micro detalharam como um invasor poderia aproveitar isso para escapar de ambientes em sandbox, tornando-o particularmente perigoso para o processamento automatizado de arquivos em ambientes corporativos.
A vulnerabilidade foi descoberta por Ryota Shiga da GMO Flatt Security Inc., em colaboração com sua ferramenta AppSec Auditor, alimentada por IA, e relatada imediatamente aos desenvolvedores do 7-Zip.
Desde então, uma exploração de prova de conceito (PoC) foi divulgada publicamente, demonstrando como um arquivo ZIP malicioso pode abusar do tratamento de links simbólicos para facilitar gravações arbitrárias de arquivos e, em certos cenários, direcionar RCE.
Este PoC reduziu a barreira para os agentes de ameaças, acelerando os ataques no mundo real observados na natureza. Notavelmente, a exploração requer interação mínima do usuário; basta abrir ou extrair um arquivo com armadilhas, um vetor comum em campanhas de phishing e downloads drive-by.
Esta questão não é isolada; A versão 25.00 do 7-Zip, lançada em julho de 2025, também corrige uma falha relacionada, CVE-2025-11002, que compartilha o mesmo link simbólico, manipulação incorreta da causa raiz e carrega uma pontuação CVSS idêntica de 7,0.
Ambas as vulnerabilidades foram introduzidas na versão 21.02, afetando todas as versões anteriores da ferramenta de código aberto usada por mais de 100 milhões de usuários do Windows em todo o mundo para tarefas de compactação. Os primeiros indicadores sugerem que os invasores têm como alvo sistemas não corrigidos em setores como saúde e finanças, onde o manuseio de arquivos é rotina.
O NHS England Digital do Reino Unido emitiu um comunicado urgente em 18 de novembro de 2025, confirmando a exploração ativa do CVE-2025-11001, solicitando atualizações imediatas para mitigar os riscos.
Os agentes de ameaças poderiam usar este RCE para implantar ransomware, roubar dados confidenciais ou estabelecer backdoors persistentes, ampliando o perigo em ataques à cadeia de suprimentos, onde arquivos comprometidos se espalham por e-mail ou unidades compartilhadas.
As organizações que dependem do 7-Zip para operações de arquivos em massa enfrentam ameaças elevadas, pois as extrações automatizadas podem propagar malware silenciosamente pelas redes.
Para combater esta ameaça, os usuários e organizações devem atualizar o 7-Zip para a versão 25.00 ou posterior, disponível no site oficial, que impõe uma canonização de caminho mais rigorosa para bloquear tentativas de travessia.
O patch evita que links simbólicos escapem dos limites de extração, neutralizando CVE-2025-11001 e CVE-2025-11002. As plataformas afetadas incluem todas as versões do Windows executando 7-Zip anteriores a 25.00, sem impactos relatados nas portas Linux ou macOS ainda.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
