CVE-2025-11002は、7-ZipのZIPファイル解析処理におけるディレクトリトラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はシステム上で任意のコードを実行できてしまいます。影響を受けるバージョンは24.09–24.09 (x64)です。最新バージョンへのアップデートにより、この脆弱性は修正されています。
この脆弱性は、攻撃者が悪意のあるZIPファイルを処理することで、システム上で任意のコードを実行することを可能にします。攻撃者は、ZIPファイル内のシンボリックリンクを悪用し、予期しないディレクトリにトラバースさせ、その結果、機密情報の窃取、システムの改ざん、さらには完全なシステム制御の奪取といった深刻な被害をもたらす可能性があります。特に、7-Zipをネットワーク共有フォルダやWebサーバー上で利用している環境では、攻撃者が容易に脆弱性を悪用できるリスクがあります。この脆弱性は、ZDI-CAN-26743として報告されており、類似のZIPファイル解析脆弱性と同様の攻撃手法が想定されます。
CVE-2025-11002は、2026年1月23日に公開されました。現時点では、KEVに登録されていません。公開されているPoCは確認されていませんが、ZIPファイル解析の脆弱性であるため、今後PoCが公開される可能性はあります。NVDおよびCISAの情報を定期的に確認し、最新の情報を把握することが重要です。
Systems utilizing 7-Zip version 24.09 (x64) are at risk, particularly those where 7-Zip is used to process ZIP files from untrusted sources. Shared hosting environments and systems with automated archive processing workflows are especially vulnerable due to the increased likelihood of exposure to malicious ZIP files.
• windows / supply-chain:
Get-Process -Name 7z | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Action.Exe -like "7z*"}• windows / supply-chain:
reg query "HKCU\Software\7-Zip" /v Path• generic web: Inspect 7-Zip installation directories for unexpected files or modifications.
disclosure
エクスプロイト状況
EPSS
0.11% (29% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、7-Zipを最新バージョンにアップデートすることです。アップデートが利用できない場合は、ZIPファイルを処理する前に、その信頼性を確認することが重要です。また、7-Zipの実行を制限されたアカウントで行うことで、攻撃の影響範囲を限定できます。WAFやIPSなどのセキュリティデバイスを導入し、悪意のあるZIPファイルのアップロードや処理を検知・遮断することも有効です。ファイル展開の前に、展開先ディレクトリの存在とアクセス権を確認するスクリプトを導入することも有効な回避策となります。
Actualice 7-Zip a una versión posterior a la 24.09. Descargue la última versión desde el sitio web oficial de 7-Zip.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-11002は、7-ZipのZIPファイル解析におけるディレクトリトラバーサル脆弱性であり、攻撃者は任意のコードを実行できます。
7-Zipのバージョン24.09–24.09 (x64)を使用している場合は、影響を受けます。
7-Zipを最新バージョンにアップデートしてください。
現時点では、積極的な悪用事例は確認されていませんが、今後悪用される可能性はあります。
7-Zipの公式アドバイザリは、7-Zipのウェブサイトで確認できます。