【要点】
◎7-Zipに任意コード実行の脆弱性2件(CVE-2025-11001等)。7月公開のVer.25.00で修正済み。最新版への更新推奨。
【要約】
ファイル圧縮解凍ソフト「7-Zip」に、zipファイル内のシンボリックリンク処理に起因する2件の脆弱性「CVE-2025-11001」「CVE-2025-11002」が確認された。細工されたファイルを開くと、ディレクトリトラバーサルを介して任意のコードを実行される恐れがある。CVSSv3.1スコアは7.0で重要度は「高」。GMO Flatt Securityの志賀遼太氏が報告し、Zero Day Initiativeが10月7日に公開したが、問題は既に7月5日リリースの「7-Zip 25.00」で修正済み。最新版は「25.01」。
【ニュース】
◆「7-Zip」のzipファイル処理に脆弱性 - 7月公開の新版で修正済み (Security NEXT, 2025/10/14)
https://www.security-next.com/175669
