7-Zip解压符号链接路径穿越漏洞CVE-2025-55188

7-Zip是由俄罗斯开发者Igor Pavlov于2000年推出的开源免费压缩软件，基于GNU LGPL协议分发，支持Windows、Linux及macOS平台。

一、基本情况

7-Zip采用LZMA/LZMA2算法实现7z格式压缩，压缩率提升30%-50%，支持7z、XZ、ZIP等格式压缩及ARJ、RAR、ISO等超过40种格式。

7-Zip是开源的压缩、解压缩软件，集成AES-256加密功能保障文件安全，核心目标是为用户提供高压缩率与低资源消耗解压缩解决方案。

7-Zip提供Windows资源管理器右键菜单、命令行工具及87种语言界面，安装包仅1-2.84MB，兼容Windows 2000至Windows 11系统版本。

栋科技漏洞库关注到7-Zip是在25.01之前的版本中存在解压符号链接路径穿越漏洞，漏洞追踪为CVE-2025-55188，CVSS 3.1评分为3.6。

二、漏洞分析

CVE-2025-55188漏洞是7-Zip在25.01之前的版本中存在的漏洞，该漏洞是由于7-Zip 在解压过程中未正确处理符号链接而导致的低危漏洞。

具体来说，由于受影响版本的 7-Zip 在解压过程中没有正确处理符号链接，因此导致存在目录穿越的情况，使得攻击者可能写入任意文件。

三、影响范围

7-Zip < 25.01

四、修复建议

7-zip >= 25.01

五、参考链接

管理员已设置登录后刷新可查看