Dos fallos graves en 7-Zip permiten ejecución de código al abrir ZIP maliciosos: urge actualizar a la versión 25.00

Por /
Compartir en Pinterest Compartir en WhatsApp

El popular compresor 7-Zip ha recibido hoy un serio aviso de seguridad: dos vulnerabilidades de alta severidad permiten a un atacante ejecutar código arbitrario si consigue que la víctima abra o extraiga un archivo ZIP especialmente preparado. Los fallos, revelados por el programa Zero Day Initiative (ZDI) de Trend Micro el 7 de octubre de 2025, afectan a varias compilaciones de 7-Zip y, según el propio aviso, fueron corregidos en julio con la publicación de 7-Zip 25.00.

Los identificadores asignados son CVE-2025-11001 y CVE-2025-11002. Ambos problemas derivan de cómo 7-Zip analiza enlaces simbólicos dentro de ficheros ZIP. En la práctica, un archivo manipulado puede escapar del directorio de extracción y escribir ficheros en otras ubicaciones del sistema. Cuando se encadenan técnicas, ese desvío de rutas (directory traversal) escala a ejecución de código con los privilegios del usuario —o, como describe ZDI en uno de los avisos, en el contexto de una cuenta de servicio—, suficiente para tomar control de un entorno Windows. Ambas vulnerabilidades figuran con CVSS base 7,0 (alta).

Lo esencial: si usa 7-Zip, actualice a 25.00 (o superior) hoy mismo. Abrir ZIP no confiables puede comprometer su equipo.

Qué ha pasado exactamente

  • Quién informa: Zero Day Initiative (ZDI) publica hoy los avisos; el investigador acreditado es Ryota Shiga (GMO Flatt Security Inc.), con takumi-san.ai.
  • Qué fallos: dos errores de traversal al tratar symlinks dentro de ZIP permiten salir del directorio destino y plantar/reescribir archivos en rutas sensibles.
  • Impacto: ejecución de código con los privilegios del usuario (o servicio), compromiso del sistema, alto impacto en confidencialidad, integridad y disponibilidad (C/I/A = H).
  • Interacción del usuario: necesaria, pero mínima: abrir o extraer el ZIP alterado basta para iniciar la cadena.
  • Solución: 7-Zip 25.00 corrige los fallos (ZDI indica “Fixed in 7-Zip 25.00”).
  • Cronología:
    • 02-05-2025 — el fallo es reportado al proveedor.
    • 07-10-2025 — publicación coordinada del aviso.
    • 07-10-2025 — actualización del aviso.

En uno de los avisos (ZDI-25-949), la línea vectorial CVSS aparece como AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H. Traducido: se trata de un ataque local (se dispara en su equipo), requiere cierta complejidad (no es trivial a nivel de ingeniería del ZIP, pero sí de uso), no precisa privilegios previos, exige interacción del usuario y puede comprometer severamente el sistema si se abre el archivo malicioso.

Por qué es peligroso un “simple” ZIP

La trampa está en los enlaces simbólicos (symlinks) y rutas relativas dentro del ZIP. Si el descompresor no neutraliza correctamente esas referencias, un archivo puede “trepar” (por ejemplo, con ..\..\) para salir de la carpeta de destino e insertar ficheros en rutas del sistema. Ese comportamiento permite:

  • Sobrescribir ejecutables o scripts que cargan automáticamente (persistencia).
  • Plantar DLLs/binarios en directorios a la vista del buscador de rutas de Windows (hijacking).
  • Escribir en rutas de inicio del usuario o carpetas temporales que luego se ejecutan indirectamente.

Con una sola acción de la víctima —abrir o extraer el ZIP— el atacante puede controlar el flujo de ejecución y ejecutar código. Por eso el vector de ZDI lo cataloga como directory traversal → RCE.

¿Qué versiones están afectadas?

El aviso de ZDI se refiere a múltiples builds de 7-Zip anteriores a 25.00. La recomendación conservadora es:

  • Windows: si su 7-Zip es 24.x o inferior, actualice.
  • Otras plataformas (p. ej., p7zip en Linux): el aviso se centra en 7-Zip; compruebe si su distribución ha publicado parches equivalentes o actualizaciones del port. Cuando tenga dudas, evite extraer ZIP no confiables con la versión afectada y use herramientas alternativas con sandbox hasta disponer de parche.

Cómo saber qué versión tengo

  • 7-Zip GUI (Windows): Abra 7-Zip → AyudaAcerca de.
  • Línea de comandos: 7z.exe7z i muestra información de compilación.
  • Inventario corporativo: use su solución de gestión (SCCM, Intune, RMM, scripts de PowerShell) para listar versiones instaladas y empujar la actualización.

Qué hacer ahora (usuarios y administradores)

1) Actualice ya

  • Descargue 7-Zip 25.00 (o superior) de la web oficial del proyecto.
  • En empresa, paquete la actualización y despliegue por su herramienta de gestión.
  • Bloquee temporalmente la ejecución de versiones antiguas si no puede actualizar en el acto.

2) Desconfíe de archivos ZIP inesperados

  • No abra ni extraiga ZIP de origen desconocido o no verificado.
  • Si debe manipularlos, hágalo en un entorno aislado (VM desechable, sandbox) y bajo cuenta sin privilegios.

3) Endurezca la superficie de ataque

  • Desactive la opción de seguir enlaces simbólicos al extraer, si su flujo lo permite.
  • Evite extraer en directorios sensibles (p. ej., Program Files, rutas de inicio o sistemas).
  • Considere listas blancas de aplicaciones (AppLocker/WDAC), para impedir que binarios recién plantados se ejecuten.
  • Aplique principio de mínimos privilegios: cuentas estándar, no admin.

4) Detección y respuesta (SOC/Blue Teams)

  • Monitorice creación de ficheros en rutas sospechosas tras operaciones de descompresión (por ejemplo, con Sysmon Event ID 11 y correlación por proceso 7z.exe).
  • Alerta sobre escrituras en directorios de inicio, Tareas Programadas, Run/RunOnce del registro, o carpetas que forman parte de rutas de búsqueda de DLL.
  • Telemetría EDR para procesos hijos inesperados de 7z.exe inmediatamente después de una extracción.

Preguntas que quizá se esté haciendo

¿Basta con no “extraer” y solo “abrir” el ZIP?

No. El aviso indica que basta con abrir o extraer para disparar el vector, según implementación. Si su versión es vulnerable, la única mitigación fiable es actualizar y evitar abrir ZIP no confiables hasta entonces.

¿Me protege el antivirus?

Un AV/EDR puede detectar cargas conocidas o comportamientos anómalos, pero no es una garantía: el problema es el parsing del ZIP por parte de 7-Zip, que ocurre antes de que otras capas puedan reaccionar. Actualice igualmente.

¿Afecta solo a Windows?

El aviso y el impacto más grave descrito se centran en Windows. 7-Zip existe para más plataformas (y p7zip en Linux), pero la información pública de hoy no detalla alcance fuera de Windows. Si usa p7zip, revise boletines de su distribución para saber si el port tiene parches equivalentes.

¿Hay pruebas de explotación activa?

A la hora de la publicación no se han compartido evidencias de explotación en estado salvaje. No obstante, el vector es atractivo y la interacción requerida es baja (abrir ZIP), por lo que es prudente actualizar de inmediato y aplicar las medidas de higiene recomendadas.

Por qué esto importa (más allá de 7-Zip)

La historia se repite una y otra vez: los problemas de análisis de formatos (parsers) —imágenes, PDFs, archivos JavaScript, ZIP— llevan años siendo puerta de entrada. El éxito de 7-Zip y su instalación masiva lo convierten en objetivo lógico: si un atacante puede empaquetar su payload en un ZIP que usted mismo abre, la barrera de entrada es mínima.

El aprendizaje es doble:

  1. Parchee rápido lo ubicuo. Herramientas “de base” como compresores, visores o runtimes deben estar siempre al día.
  2. Diseñe con sospecha razonable. Automatice descompresiones en entornos aislados, y limite los contextos donde un ZIP de terceros puede escribir fuera de una carpeta de trabajo.

Recomendaciones para equipos de TI (lista de control)

  • Inventariar versiones de 7-Zip en todos los equipos.
  • Distribuir 25.00+ mediante su plataforma de gestión.
  • Bloquear el uso de versiones antiguas (GPO/AppLocker/WDAC).
  • Formar a usuarios: no abrir ZIP no solicitados.
  • Aislar procesos de descompresión en VMs o con cuentas sin privilegios.
  • Monitorizar rutas sensibles tras operaciones con ZIP.
  • Documentar el incidente: fecha del parche, ámbito afectado, responsables.

Conclusión

No hace falta caer en pánico, pero sí actuar con agilidad. Dos vulnerabilidades de alta severidad (CVSS 7,0) en 7-Zip permiten ejecución de código con abrir o extraer un ZIP malicioso. La solución está disponible desde julio: actualice a 7-Zip 25.00 —o superior— y refuerce sus hábitos de seguridad con las prácticas descritas. Si gestiona un parque corporativo, automatice el despliegue y vigile las rutas sensibles tras descompresiones. La combinación de parcheo rápido, principio de mínimos privilegios y detección reduce al mínimo el riesgo.

Preguntas frecuentes (FAQ)

¿Qué versiones de 7-Zip arreglan los fallos CVE-2025-11001 y CVE-2025-11002?
Según ZDI, están corregidos en 7-Zip 25.00. Instale 25.00 o superior.

¿Cómo puede un ZIP “escapar” del directorio de extracción?
Mediante enlaces simbólicos y rutas relativas que el parser vulnerable no neutraliza. El resultado es un directory traversal que permite escribir fuera de la carpeta objetivo, incluso en rutas sensibles.

¿Qué debo hacer si no puedo actualizar hoy?
Evite abrir/extraer ZIP no confiables; use un entorno aislado (VM), cuentas sin privilegios, y desactive, si es posible, el seguimiento de symlinks. Considere alternativas temporales de descompresión hasta parchear.

¿Cómo detecto intentos de explotación en mi empresa?
Correlacione operaciones de descompresión (7z.exe) con creaciones de archivo en rutas inesperadas (Sysmon EID 11), y alerte sobre procesos hijos anómalos tras una extracción. Revise Tareas Programadas y claves Run/RunOnce si observa comportamientos sospechosos.

vía: zero day initiative

Compartir en Pinterest Compartir en WhatsApp

Entradas relacionadas

Scroll al inicio