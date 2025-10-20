Deux failles de sécurité de type path traversal ont été patchées dans la célèbre application 7-Zip. Quels sont les risques associés à ces vulnérabilités liées aux identifiants CVE-2025-11001 et CVE-2025-11002 ? Faisons le point.

7-ZIP : CVE-2025-11001 et CVE-2025-11002

Découvertes par Ryota Shiga (GMO Flatt Security), ces deux vulnérabilités ont été identifiées dans le module ArchiveExtractCallback.cpp de 7-Zip. Elles permettent à une archive Zip spécialement conçue d’utiliser des liens symboliques de type Unix pour s’extraire en dehors du dossier cible. Concrètement, 7-Zip interprète à tort certains liens symboliques qui pointent vers des chemins absolus comme s’ils étaient relatifs. Cela signifie que les contrôles destinés à confiner l’extraction des données dans le répertoire spécifié par l'utilisateur peuvent être contournés. Il est à noter que l'exploitation est possible uniquement sur Windows.

Ces deux failles de sécurité, divulguées le 7 octobre 2025 par la Zero Day Initiative, sont associées à un score CVSS de 7.0 sur 10. "Un attaquant peut exploiter cette vulnérabilité pour exécuter du code dans le contexte d'un compte de service.", peut-on lire sur le site de la ZDI. Les scores et les risques sont identiques avec ces deux vulnérabilités (CVE-2025-11001 et CVE-2025-11002).

Bien que rien n'indique l'exploitation de ces vulnérabilités dans la nature, un exploit PoC a été publié sur GitHub pour la CVE-2025-11001.

Il est intéressant de noter que le descriptif de ces deux CVE indique : PR:N . Concrètement, cela veut dire que l’attaquant n’a pas besoin de droits supplémentaires (pas d’élévation de privilèges préalable) pour déclencher la vulnérabilité. Pourtant, si on se réfère au GitHub de l'exploit PoC, l'indication est différente : "Le bug ne peut être exploité que si 7-Zip est exécuté avec des privilèges administrateur. En effet, c’est le processus 7-Zip qui crée un lien symbolique, opération réservée aux comptes privilégiés sous Windows." - Une information importante.

Finalement, tout dépend du contexte d'utilisation de 7-Zip : sur le poste d'un utilisateur standard, sur le poste d'un développeur, ou encore sur un serveur, les privilèges associés au processus 7-Zip peuvent varier.

Comment se protéger ?

Toutes les versions de 7-Zip de la 21.02 à la 24.09 incluses sont vulnérables à ces failles de sécurité. Pour se protéger, les utilisateurs doivent passer sur la branche 25.x de 7-Zip. En effet, la gestion des liens symboliques a été durcie à partir de la version 25.00 et la version la plus récente actuelle est la 25.01, publiée le 3 août 2025.

Si vous utilisez 7-Zip, il est recommandé d'installer la mise à jour sur vos machines.

