Una falla de seguridad recientemente revelada que afecta a 7-Zip ha sido objeto de explotación activa en la naturaleza, según un aviso emitido el martes por el NHS England Digital del Reino Unido.
La vulnerabilidad en cuestión es CVE-2025-11001 (puntuación CVSS: 7.0), que permite a los atacantes remotos ejecutar código arbitrario. Se ha abordado en la versión 25.00 de 7-Zip publicado en julio de 2025.
«La falla específica existe en el manejo de los enlaces simbólicos en los archivos ZIP. Los datos creados en un archivo ZIP pueden provocar que el proceso vaya a directorios no deseados», afirma la iniciativa Zero Day Initiative (ZDI) de Trend Micro en una alerta publicada el mes pasado. «Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de una cuenta de servicio».
Ryota Shiga de GMO Flatt Security Inc., junto con AppSec Auditor de la empresa, que funciona con inteligencia artificial (IA) Takumi , se le atribuye el descubrimiento y la notificación de la vulnerabilidad.
Vale la pena señalar que 7-Zip 25.00 también resuelve otro defecto, CVE-2025-11002 (puntuación CVSS: 7.0), que permite la ejecución remota de código al aprovechar el manejo incorrecto de los enlaces simbólicos dentro de los archivos ZIP, lo que resulta en un recorrido por los directorios. Ambas deficiencias se introdujeron en la versión 21.02.
«Se ha observado la explotación activa del CVE-2025-11001 en la naturaleza», NHS England Digital dijo . sin embargo, actualmente no hay detalles disponibles sobre cómo se está utilizando como arma, por quién y en qué contexto.
Dado que existe una prueba de concepto ( PoC ), es esencial que los usuarios de 7-Zip actúen rápidamente para aplicar las correcciones necesarias lo antes posible, si no lo hacen ya, para una protección óptima.
«Esta vulnerabilidad solo se puede aprovechar en el contexto de una cuenta de usuario o servicio elevada o en una máquina con el modo desarrollador habilitado», dijo el investigador de seguridad Dominik (también conocido como pacbypass), que publicó la PoC, dijo en un post detallando los defectos. «Esta vulnerabilidad solo puede explotarse en Windows».