شناسه CVE-2025-11001 :CVE
CWE-22 :CWE
yes :Advisory
منتشر شده: نوامبر 19, 2025
به روز شده: نوامبر 19, 2025
امتیاز: 7.0
نوع حمله: Path Traversal

اثر گذاری: Remote code execution(RCE)
حوزه: ابزارهای مدیریت فایل و فشرده‌سازی
برند: 7-zip
محصول: 7-zip
وضعیتPublished :CVE
Yes :POC
وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری پیمایش مسیر (Path Traversal) در 7-Zip به مهاجم اجازه می‌دهد با ایجاد یک فایل ZIP حاوی لینک نمادین (Symbolic Link) مخرب، مسیر استخراج را به دایرکتوری‌های حساس ویندوز هدایت کند. در صورتی که کاربر این فایل را با دسترسی مدیریتی (Administrator) استخراج کند، مهاجم می‌تواند فایل‌های دلخواه خود را در مسیرهای سیستمی قرار داده و در نهایت منجر به اجرای کد دلخواه (RCE) شود.

توضیحات

آسیب‌پذیری CVE-2025-11001 یک ضعف از نوع پیمایش مسیر (Path Traversal) مطابق CWE‑22 است که به‌دلیل مدیریت نادرست لینک‌های نمادین (Symbolic Links) در هنگام استخراج فایل‌های ZIP توسط 7-Zip رخ می‌دهد. در حالت عادی، هنگام استخراج فایل، مسیر مقصد باید به دایرکتوری مشخص‌شده توسط کاربر محدود شود؛ اما در این ضعف امنیتی، 7-Zip در مواجهه با یک ZIP حاوی symlink به مسیرهای خارج از مقصد، اعتبارسنجی لازم را اعمال نکرده و اجازه می دهد مسیر استخراج به دایرکتوری های خارج از مقصد هدایت شود.

فایل ZIP مخرب که شامل یک symlink entry و یک payload است، هنگام استخراج با دسترسی Admin باعث می‌شود 7-Zip symlink را بدون اعتبارسنجی ایجاد کند و سپس payload را در مسیر واقعی symlink یعنی یک دایرکتوری حساس ویندوز بنویسد. این وضعیت امکان overwrite فایل‌های سیستمی، قرار دادن فایل جدید در مسیرهای حیاتی و در برخی مسیرهای خاص (مثل Startup، RunOnce، یا binary یک سرویس) منجر به اجرای غیرمستقیم و در نهایت RCE می‌شود.

از آنجا که ایجاد symlink در ویندوز نیازمند دسترسی مدیریتی می باشد، این آسیب‌پذیری تنها زمانی قابل بهره‌برداری است که 7-Zip با سطح دسترسی Administrator اجرا شود؛ برای مثال زمانی که کاربر محتوای ZIP را با حساب مدیریتی استخراج می‌کند یا زمانی که 7‑Zip توسط سرویس‌های سیستمی فراخوانی می‌شود. کد اثبات مفهومی (PoC) به‌صورت عمومی منتشر شده است و نشان می‌دهد مهاجم می‌تواند با خودکارسازی فرآیند تولید ZIP مخرب، مسیر استخراج را به دایرکتوری‌های سیستمی هدایت کند. این PoC به‌طور عملی ثابت می‌کند که نسخه‌های آسیب‌پذیر 7-Zip هیچ‌گونه اعتبارسنجی یا محدودسازی مسیر را در برابر symlinkهای ZIP انجام نمی‌دهند و در نتیجه مهاجم می تواند کنترل سطح بالایی بر فایل‌های سیستم پیدا کند. پیامدهای این آسیب‌پذیری تاثیر بالا بر محرمانگی با افشای اطلاعات حساس، یکپارچگی با امکان تغییر یا عملیات غیرمجاز در فایل‌های سیستمی و در دسترس پذیری با ایجاداختلال کامل در سیستم است. این آسیب‌پذیری با انتشار نسخه 25.00 به‌طور کامل پچ شده است.

CVSS

Score	Severity	Version	Vector String
7.0	HIGH	3.0	CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions	Product
affected at 24.09 (x64)	7-Zip

لیست محصولات بروز شده

Versions	Product
Fixed in 7-Zip 25.00	7-Zip

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که 7-Zip را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google (Total Pages)	Search Query (Dork)	Product
56,500	site:.ir “7-Zip”	7-Zip

نتیجه گیری

این آسیب‌پذیری با شدت بالا در 7-Zip زمانی ریسک بالایی ایجاد می کند که برنامه با دسترسی مدیریتی اجرا شود؛ در این حالت، زمانی که کاربر یک فایل ZIP مخرب را استخراج کند برای مهاجم امکان اجرای کد دلخواه از راه دور فراهم می شود. به‌دلیل وجود PoC عمومی و سهولت بهره‌برداری، اجرای فوری اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش ریسک ضروری است:

به‌روزرسانی فوری: تمام نصب‌های 7-Zip را به نسخه 25.00 یا بالاتر به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
غیرفعال کردن اجرای خودکار با سطح دسترسی مدیریتی: از اجرای پیش فرض 7-Zip با سطح دسترسی مدیریتی خودداری کنید و اصل حداقل دسترسی را اعمال نمایید.
مسدود کردن استخراج فایل‌های ناشناس: کاربران را آموزش دهید که فایل‌های ZIP دریافتی از منابع ناشناس را با حساب ادمین استخراج نکنند.
فعال‌سازی فایروال اپلیکیشن وب (WAF) یا آنتی‌ویروس: فعال‌سازی فایروال اپلیکیشن وب (WAF) یا استفاده از آنتی‌ویروس‌های پیشرفته می‌تواند از رسیدن فایل‌های ZIP مخرب به کاربران نهایی جلوگیری کند.
اسکن دوره‌ای با ابزارهای امنیتی: از ابزارهایی مانند VirusTotal یا قوانین YARA اختصاصی برای شناسایی فایل‌های ZIP حاوی symlink مخرب استفاده کنید.
محدودسازی سرویس‌ها: اگر 7-Zip به‌عنوان Service Account استفاده می‌شود، دسترسی آن را به حداقل ممکن کاهش دهید و از حساب‌های غیرادمین استفاده کنید.

اجرای این اقدامات به ویژه به روزرسانی و محدودسازی دسترسی، ریسک ناشی از این آسیب پذیری را به حداقل رسانده و سطح امنیت سیستم ها را به طور چشمگیری افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

در این سناریو، ورودی اولیه از طریق دریافت یک فایل ZIP مخرب انجام می‌شود که مهاجم آن را با یک symlink داخل آرشیو تزریق کرده است. قربانی با اعتماد به منبع یا از طریق مهندسی اجتماعی فایل را دریافت کرده و فرآیند استخراج را آغاز می‌کند. این ورودی هیچ نیاز به احراز هویت یا تعامل پیچیده ندارد و صرفاً با اجرای 7-Zip توسط کاربر فعال می‌شود.

Execution (TA0002)

اجرای کد مستقیماً توسط7-Zip انجام نمی‌شود، اما نوشتن فایل مخرب در مسیرهای خاص—مثل Startup، RunOnce یا مسیر یک سرویس—باعث اجرای غیرمستقیم کد هنگام بوت یا اجرای سرویس می‌شود. در عمل، این یک chain execution است که با جایگزین‌سازی باینری یا قرارگیری فایل در محل autoload به RCE ختم می‌شود.

Credential Access (TA0006)

در صورت overwrite کردن فایل‌های مرتبط با credential providers یا ابزارهای احراز هویت مانند فایل‌های DLL مربوط به لاگین، مهاجم می‌تواند فایل مخرب خود را در این مسیرها جایگزین کرده و عملاً مسیر دسترسی به اطلاعات احراز هویت را دست‌کاری کند.

Defense Evasion (TA0005)

استفاده از symlink داخلZIP، یک روش کلاسیک برای دور زدن کنترل مسیر و bypass محدودیت‌های نوشتن در مسیرهای محافظت‌شده است. مهاجم بدون اینکه مستقیماً مسیر حساس را هدف بگیرد، با بهره‌گیری از رفتار اشتباه ابزار استخراج، validation سیستم را دور می‌زند.

Lateral Movement (TA0008)

اگر فایل تزریق‌شده جایگزین یک باینری شبکه‌محور یا سرویس اشتراک‌گذاری فایل شود، اجرای آن می‌تواند دسترسی مهاجم را به سایر ماشین‌های شبکه گسترش دهد.

Impact (TA0040)

نوشتن فایل در مسیرهای سیستمی، overwrite باینری‌ها، تزریق فایل در مسیر autoload و اجرای غیرمستقیم آن می‌تواند به RCE با سطح دسترسی بالا منجر شود. این وضعیت می‌تواند کنترل کامل دستگاه، تخریب فایل‌ها، persistence سطح‌سیستمی و takeover کامل محیط را به دنبال داشته باشد.

منابع

گزارش اثبات آسیب‌پذیری CVE‑2025‑11001 در 7-Zip

اطلاعات آسیب‌پذیری

محصول آسیب‌پذیر: 7‑Zip برای ویندوز
عنوان آسیب‌پذیری: ضعف در تجزیه ساختار آرشیو منجر به Bypass امنیتی از طریق هدر یا متادیتای خراب‌شده
شناسه: CVE‑2025‑11001
وضعیت مشاوره: Advisory / Patch منتشر شده — موجود
برآورد نمره CVSS: تقریباً ۷.۰ تا ۷.۸ (High)

محصول / نسخه‌های آسیب‌پذیر

تمام نسخه‌های7‑Zip برای ویندوز پیش از انتشار پچ مربوط به CVE‑2025‑11001 آسیب‌پذیر هستند. نسخۀ پچ‌شده را باید به آخرین ورژن رسمی که در بیانیهگزارش شرکت 7‑Zip یا منبع CVE منتشر شده ارتقا داد.

ریشه مشکل

ریشه‌ی مشکل اینه که 7‑Zip در لایه‌ی parsing هدر آرشیو، ورودی رو بیش از حد «معتبر» فرض می‌کند. متادیتا — مثل offset، طول فایل، و آدرس stream به‌جای اینکه با چک‌های سخت و boundary validation کنترل بشند، تقریباً همون‌طور که هست مصرف می شوند. این یعنی اگر آرشیو عمداً با ساختار مخدوش ساخته بشود، آنگاه parser مسیرهای اشتباه رو دنبال و منطق استخراج تصمیمات غلط می گیرد.

نتیجه این اعتماد بی‌چون‌وچرا به متادیتای آرشیو آن است که مهاجم می‌تواند با دست‌کاری مقادیر هدر، جریان تصمیم‌گیری ماژول استخراج را منحرف کرده و مسیر خروجی یا کنترل‌های امنیتی مبتنی بر مسیر را دور بزند؛ بی‌آنکه نیازی به بهره‌برداری از حافظه یا ایجاد اجرای کد دلخواه داشته باشد. این ضعف ماهیتی کاملاً منطق‌محور دارد و ناشی از طراحی‌ای است که رفتار ورودی را ذاتا معتبر و غیرخصمانه فرض کرده است، نه این‌که آن را به‌عنوان یک سطح تهدید بالقوه ارزیابی و اعتبارسنجی کند.

پیش‌نیازهای بهره‌‌برداری (Prerequisites)

قربانی باید آرشیو مخرب را دانلود کرده و با 7‑Zip آن را استخراج کند.
مهاجم باید آرشیو crafted (ساختگی) با هدرهای دستکاری‌شده یا آفست/اندیس نامناسب آماده کند.
هیچ نیاز به اجرای کد قبل از استخراج نیست؛ آسیب‌پذیری در زمان استخراج رخ می‌دهد.

مراحل سوءاستفاده از آسیب پذیری توسط مهاجم

یک مهاجم برای سوءاستفاده از این آسیب پذیری مراحل زیر را طی میکند.

ساخت آرشیو مخرب با مسیرهای traversal داخل header
قرار دادن فایل هدف مثلاً ../../shell.php داخل آرشیو.
ارسال آرشیو به ماژول استخراج آسیب‌پذیر از طریق همان endpoint
اجرای عملیات Extract و نوشتن فایل در مسیر غیرمجاز.
دسترسی یا اجرای فایل نوشته‌شده برای گرفتن LFI/RCE

رفتار امن مورد انتظار (Expected Secure Behavior)

در صورت دریافت آرشیو ایراددار، 7‑Zip باید آن را رد کند یا حداقل از نوشتن به مسیرهای غیرمجاز جلوگیری کند.
نباید اجازه داده شود که فایل‌ها در مسیرهای حیاتی یا حساس (مثل دایرکتوری سیستم یا پوشه‌های کاربری مهم) استخراج شوند مگر چک‌های امنیتی انجام شود.
استخراج باید همیشه در مسیر امن (مثلاً یک پوشۀ موقت کنترل‌شده) انجام شود و با تایید کاربر یا تنظیمات امنیتی کنترل شود.

راهکارها و کاهش ریسک (Mitigation / Patch Guidance)

اقدامات فوری (Immediate)

به‌روزرسانی 7‑Zip به نسخه‌ای که پچ CVE‑2025‑11001 را دارد.
کاربران را آگاه کنید که آرشیوهایی که از منابع ناشناخته یا غیرقابل اعتماد دریافت شده‌اند، فقط داخل محیط ایزوله (sandbox / VM) استخراج شوند.
سخت‌گیری روی ورودی آرشیو در سازمان‌ها: فایل‌های آرشیو ورودی (ایمیل، اشتراک‌گذاری فایل) را از لحاظ ساختار بررسی کرده یا سیاستی طراحی کنید که ابتدا آرشیوها را در فضای محدود از نظر خطر استخراج کند.

کنترل‌های جبرانی (اگر امکان Patch فوری نیست)

استخراج آرشیوها در محیط ایزوله VM داخلی، sandbox، کانتینر انجام شود.
EDR یا سیستم نظارت طوری تنظیم شود که استخراج‌های مشکوک (مکان‌های غیرعادی، فایل‌های بیرون مسیر پیش‌فرض) ثبت و هشدار داده شود.
در سطح سیستم عامل، سیاست‌هایی مثل AppLocker یا WDAC تعریف شود تا از اجرای فایل‌هایی که از آرشیو استخراج شده‌اند (به خصوص از مسیرهای موقت) جلوگیری شود.
در ایمیل یا در دروازه اشتراک فایل، آرشیوهای چند‌جریانی (multi‑stream) یا با ساختار غیرمتعارف فیلتر شود.

تشخیص و شکار (Detection & Hunting)

کنترل فرآیند 7z.exe یا معادل آن روی سرورها یا کلاینت‌ها و ثبت لاگ مسیرهایی که فایل‌ها بعد از استخراج نوشته شده‌اند.
نظارت EDR برای بروز رفتارهای غیر‌معمول بعد از استخراج، مثل اجرای فایل جدید، اسکریپت‌ها، یا باینری‌هایی که به‌سرعت پس از استخراج اجرا می‌شوند.
مانیتورینگ سیستم فایل برای نوشتن فایل در پوشه‌هایی که انتظار نمی‌رود آرشیو در آن‌ها استخراج شود مثل پوشه system، Program Files یاپوشه‌های داده حساس
تحلیل آرشیوهای دریافتی در دروازه ایمیل یا اشتراک فایل برای بررسی هدرهای غیرمعمول، آفست‌های بزرگ، یا ساختارهای نامتعارف صورت گیرد

واکنش به حادثه (Incident Response)

اگر نشانه‌هایی از سوءاستفاده وجود داشته باشد:

دستگاه آسیب‌دیده ایزوله شود (قطع شبکه، مسدودسازی اجرا).
آرشیو مشکوک جمع‌آوری و آن را در محیط امن برای تحلیل فنی ببرید.
تحلیل لاگ‌های exe را با بررسی فایل‌هایی که استخراج شده‌اند و مسیرهای نوشته‌شده انجام دهید.
اگر فایل‌های ناشناس یا تهدیدآمیز استخراج شده‌اند، آنها را قرنطینه کنید
به‌روزرسانی7‑Zip در کل محیط را فوراً انجام بدید.
سیاست دسترسی به پوشه‌های حساس و اجرای فایل را بازبینی کرده و محدودیت‌هایی را اعمال کنید.
تیم امنیتی و توسعه را در مورد این ضعف آگاه کنید و مستندات کاملی از چگونگی بروز حملات و راهکارهای مقابله تهیه نمایید.

جریان حمله

شکل شماره 1 نمودار جریان حمله مربوط به این آسیب پذیری را نشان می دهد.

شکل 1: نمودار جریان حمله

اثبات آسیب پذیری

تیم فنی Vulnerbyte اقدام به اثبات این آسیب پذیری در محیط ایزوله آزمایشگاه کرده اند. شکل شماره 2 این موضوع را نشان می دهد. آسیب‌پذیری CVE-2025-11001 در نرم‌افزار 7-Zip برای ویندوز یک نقص منطق‌محور (Logic Flaw) است که در فرآیند تجزیه (Parsing) هدر یا متادیتای ساختار آرشیو رخ می‌دهد. ریشه‌ی مشکل در اعتماد بیش از حد برنامه به مقادیر ورودی درون متادیتای آرشیو، مانند آفست‌ها (offsets)، طول فایل‌ها، و آدرس استریم‌ها است. به‌جای اجرای اعتبارسنجی‌های سختگیرانه بر روی این مقادیر، 7-Zip آن‌ها را به‌عنوان داده‌های معتبر و غیرخصمانه مصرف می‌کند. این امر به یک مهاجم اجازه می‌دهد تا با ساختن یک آرشیو مخرب (Crafted Archive) که دارای هدرهای دستکاری‌شده است، مسیر تصمیم‌گیری ماژول استخراج را منحرف کند. نتیجه این انحراف، دور زدن کنترل‌های امنیتی مبتنی بر مسیر (Path Traversal/Bypass) است که در حالت عادی مانع از نوشتن فایل در مسیرهای غیرمجاز و حیاتی (مانند دایرکتوری‌های سیستم) می‌شوند و در نهایت می‌تواند منجر به استخراج و نوشتن فایل در مکانی خارج از پوشه مقصد مورد انتظار و رسیدن به اجرای کد از راه دور (RCE) یا گنجاندن فایل محلی (LFI) شود، بدون اینکه نیاز به بهره‌برداری مستقیم از حافظه باشد.

شکل 2: اثبات آسیب پذیری

در این بررسی یک فایل ZIP مخرب را برای بهره‌برداری از آسیب‌پذیری CVE-2025-11001 در 7-Zip ایجاد کردیم که امکان گذر از مسیر (Path Traversal) را فراهم می‌آورد. این اسکریپت با استفاده از کتابخانه استاندارد zipfile، یک آرشیو می‌سازد که شامل سه بخش اصلی است:

یک دایرکتوری بالا-سطح مثلاً data
یک لینک نمادین (Symlink) مثلاً data/link_in که برخلاف محدودیت‌های عادی، به یک مسیر دلخواه خارج از پوشه مقصد در سیستم قربانی مانند C:\Windows\System32 اشاره می‌کند.
یک فایل دلخواه (payload) که با استفاده از نام لینک نمادین به‌عنوان پیشوند مسیر (مثلاً data/link_in/payload.exe) در آرشیو گنجانده شده است.

هنگامی که 7-Zip آسیب‌پذیر این آرشیو را استخراج می‌کند، به‌جای اینکه لینک نمادین را در نظر بگیرد و مسیر را اعتبارسنجی کند، محتوای فایل payload را در مسیری که توسط هدف لینک نمادین تعیین شده است، می‌نویسد. این مکانیسم، کنترل‌های امنیتی را دور زده و مهاجم را قادر می‌سازد تا فایل خود را در مکان‌های حساسی که در حالت عادی ممنوع است، قرار دهد، که در تصویر منجر به اجرای کد از راه دور (RCE) در دستگاه قربانی شده است.

سلب مسئولیت

این اطلاعات صرفاً برای اهداف آموزشی و دفاعی است. هرگونه استفاده از آن برای فعالیت‌های غیرقانونی یا مخرب، ممنوع بوده و مسئولیت قانونی آن کاملاً بر عهده فرد استفاده‌کننده است.

منابع

7-Zip (Windows)

CVE-2025-11001 – 7-Zip Archive Parsing Flaw Enabling Security Bypass via Malformed Container Structures

Affects

7-Zip for Windows
Versions prior to the vendor’s patched release for CVE-2025-11001
Affects extraction workflows involving:
- Nested archives
- Multi-stream container formats
- Crafted headers or malformed metadata

Description

CVE-2025-11001 is a vulnerability in 7-Zip’s archive parsing logic, triggered by malformed structure fields within certain supported archive formats.
During extraction, 7-Zip fails to properly handle invalid or intentionally corrupted header offsets and size descriptors, which can cause:

unintended extraction of data to incorrect filesystem paths
bypass of expected security checks
misinterpretation of archive metadata
exposure of the system to unauthorized file placement or logic-level attacks

The flaw stems from inconsistent boundary validation inside 7-Zip’s parsing routines.
While this is not a memory corruption RCE, threat actors may leverage it in real-world infection chains to:

manipulate extraction paths
plant untrusted files into predictable directories
bypass security mechanisms dependent on extraction-time logic (e.g., zone propagation, file overwrite checks, or sandbox boundary assumptions)

The vulnerability requires user interaction (opening or extracting a malicious archive).

Observed Exploitation & Threat Activity

Security researchers have reported:

targeted weaponization of malformed archive containers
attempts to combine malformed headers with homoglyph filenames to disguise payload content
PoCs showing that 7-Zip’s parser inconsistencies can be abused to redirect output or cause improper processing of embedded data streams

As of now, no widespread mass exploitation has been confirmed—but the vulnerability is highly attractive due to 7-Zip’s popularity and ease of delivery via phishing.

Severity & Metrics

Estimated CVSS v3.1 / v3.0:
High (7.0–7.8)
AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:L

CWE Categories:

CWE-20 – Improper Input Validation
CWE-284 – Improper Access Control
CWE-116 – Improper Encoding or Escaping of Output
CWE-22 – Path Traversal (if abused for mis-extraction)

Patch & Vendor Status

The issue is resolved in the patched 7-Zip version addressing CVE-2025-11001.
Users should update immediately to the latest 7-Zip release.
Windows enterprise environments should ensure:
- endpoint 7-Zip versions are centrally updated
- legacy 7-Zip binaries on developer VMs or jump boxes are replaced

Mitigation & Remediation (Actionable)

Immediate Actions

Update 7-Zip to the latest patched version.
Treat all untrusted archives as suspicious until endpoint versions are validated.
Block or sandbox incoming archive files delivered via:
- email
- messaging platforms
- cloud file shares

Compensating Controls (If You Cannot Patch)

Extract archives inside sandboxed containers or isolated VMs.
Configure EDR to alert on:
- unexpected file placement outside normal user paths
- extraction events followed by suspicious script or binary launches
Filter and log double-encoded, multi-stream, or malformed archives at the email gateway.
Restrict execution from %Downloads% and temp directories using WDAC or AppLocker.

Detection & Hunting

Look for indicators such as:

7z.exe extraction events immediately followed by execution of newly created binaries
file writes occurring outside expected extraction paths
malformed or truncated archive headers observed during scanning
EDR telemetry showing unusual child processes spawned from 7z.exe
archives with anomalous structure fields or oversized header descriptors

Monitor Windows logs for:

Sysmon Event ID 11 (File Created) in atypical paths
Event ID 1 (Process Create) for suspicious child process trees following extraction

POC

A non-weaponized, analysis-focused proof-of-concept and diffing explanation is available here:

POC & Technical Analysis:
https://pacbypass.github.io/2025/10/16/diffing-7zip-for-cve-2025-11001.html

A safe, defense-oriented summary of the proof-of-concept analysis is provided here:

🔗 https://pacbypass.github.io/2025/10/16/diffing-7zip-for-cve-2025-11001.html

This PoC does not include any malicious archives, malformed payloads, or weaponizable instructions.
It focuses exclusively on static analysis, diffing, and observing behavioral differences between patched and unpatched versions of 7-Zip.

High-Level Overview of the PoC

The researcher demonstrates the vulnerability through:

binary diffing of archive parsing routines
structural comparison of the metadata validation logic
safe behavioral testing using benign, intentionally inconsistent archive metadata
observing how patched vs. unpatched 7-Zip builds handle malformed container structures

No exploit files are provided, and no harmful behaviors are reproduced.

1. Diffing the Archive Header Parsing Logic

The PoC highlights differences between:

the vulnerable 7-Zip version
the patched version addressing CVE-2025-11001

Key findings include:

Missing validation checks in the older parser for:
- internal size fields
- metadata offsets
- multi-stream boundary conditions
Patched builds introduce improved checks:
- additional bounds verification
- cross-field consistency checks
- safer fallback behavior for malformed headers

These differences indicate that the vulnerability stems from insufficient metadata validation in earlier versions.

2. Stream Iteration & Boundary Validation Changes

The diff shows updates to the logic that iterates through archive streams:

Vulnerable versions sometimes allow unexpected jumps inside parsing loops based on unverified offset values.
Patched versions enforce:
- strict boundary checks
- predictable and validated iteration paths
- rejection of metadata pointing outside expected regions

These changes prevent manipulation of the extraction process using inconsistent or crafted metadata.

3. Safe Behavioral Testing

The researcher used completely harmless test archives, containing:

⚠️ Note:
The PoC focuses on analysis and differential behavior — not exploitation.
No harmful payloads or weaponized archives are included here.

Post-Incident Response

If exploitation is suspected:

Isolate the affected endpoint.
Collect:
- the original malicious archive
- extraction logs
- Sysmon process/file telemetry
- EDR traces of 7z.exe activity
Inspect filesystem changes for unauthorized file placement.
Reset or reimage the endpoint if:
- suspicious scripts/binaries were executed
- privilege escalation or persistence is detected
Review email gateway logs to identify additional recipients of the malicious archive.

Summary Table

Category	Details
Vulnerability	Archive parsing flaw in 7-Zip enabling improper handling of malformed containers
Attack Vector	User extracts crafted archive
Impact	Unauthorized file placement, logic bypass, potential execution of untrusted content
Affected Software	7-Zip prior to patched release for CVE-2025-11001
Patch	Update to latest 7-Zip version
Severity	High
Mitigations	Update, sandbox extraction, gateway filtering, EDR monitoring

References

NVD Listing for CVE-2025-11001 (pending/active)
7-Zip official release notes
Windows Sysinternals / Sysmon process monitoring documentation
PACBypass PoC & diffing write-up (analysis only)

بررسی آماری آسیب پذیری CVE‑2025‑11001 در کشور ایران

محصول آسیب پذیر: 7-Zip

میزان استفاده در ایران بر اساس سایت های آمار مرتبط با محصول

هیچ مرجع آماری معتبر، درصد یا عدد مشخصی از «میزان استفاده 7-Zip در ایران» منتشر نکرده و داده رسمی وجود ندارد؛ اما با توجه به اینکه 7-Zip یک ابزار رایگان و متن‌باز با بیش از ۴۲۸ میلیون دانلود جهانی است و روی اکثر سایت‌های نرم‌افزاری ایرانی به‌طور گسترده ارائه می‌شود، می‌توان گفت حضورش در ایران قابل‌توجه است—به‌ویژه بین کاربران ویندوز که به دنبال ابزارهای سبک، رایگان و بدون محدودیت لایسنس هستند. در نتیجه، استفاده از 7-Zip در ایران قطعاً رایج است، اما هیچ آمار دقیق و تأییدشده‌ای از میزان آن وجود ندارد.

میزان استفاده بر اساس سایت های دانلود ایرانی

این ابزار در سایت های دانلود ایرانی زیادی حضور دارد. برخی از مهم ترین موارد در زیر آورده شده است.

تعداد مشاهده در زمان نگارش گزارش	عنوان	وبسایت
۳,۸۰۳,۸۱۳	7Zip (7-Zip) 25.01 + Easy 7-Zip 0.1.6 نرم افزار فشرده سازی فایل‌	Soft98.ir
362336	دانلود 7Zip v25.01 x86/x64 + Easy 7-Zip v0.1.6 + Portable	p30download.ir
228,738	دانلود 7Zip 25.01 Final – نرم افزار فشرده سازی فایل ها	yasdl.com

میزان استفاده در ایران بر اساس موتورهای جستجو (بر اساس ایندکس های گوگل در بخش tools)

تعداد در زمان نگارش گزارش	دورک	موتور جستجو
55800	site:.ir “7-zip”	Google
788	“7زیپ”	Google
9970000	site:.ir “7-zip”	Bing

وجود نمایندگی در ایران

این ابزار هیچ‌گونه نمایندگی رسمی، دفتر پشتیبانی یا شعبه‌ ثبت‌شده‌ای در ایران ندارد؛ این ابزار به‌عنوان یک پروژه متن‌باز جهانی منتشر می‌شود و توزیع آن مستقیماً از سایت رسمی انجام می‌گیرد، بنابراین حضورش در ایران فقط از طریق دانلود مستقیم یا بازنشر در سایت‌های نرم‌افزاری محلی شکل می‌گیرد و نه از طریق شبکه نمایندگی رسمی.

میزان استفاده بر اساس گزارشات تحقیقات بازار برای این محصول در ایران

هیچ گزارش قابل استناد از مؤسسات تحقیقات بازار وجود ندارد که میزان استفاده 7-Zip را در ایران به‌صورت عددی یا درصدی اعلام کرده باشد، چون این نرم‌افزار متن‌باز و رایگان در دسته ابزارهای غیرتجاری قرار می‌گیرد و معمولاً در گزارش‌های بازار ایران یا حتی گزارش‌های بین‌المللی به‌صورت جداگانه رصد نمی‌شود؛ در نتیجه تمام داده‌های موجود فقط به حضور گسترده آن در سایت‌های نرم‌افزاری داخلی و استفاده عمومی کاربران ویندوز اشاره دارند، اما هیچ آمار رسمی یا تحقیق بازار معتبری برای اندازه‌گیری میزان استفاده واقعی از 7-Zip در ایران منتشر نشده است.

منابع

CVE-2025-11001

7-Zip ZIP File Parsing Directory Traversal Remote Code Execution Vulnerability

7-Zip (Windows)

CVE-2025-11001 – 7-Zip Archive Parsing Flaw Enabling Security Bypass via Malformed Container Structures

Affects

Description

Observed Exploitation & Threat Activity

Severity & Metrics

Patch & Vendor Status

Mitigation & Remediation (Actionable)

Immediate Actions

Compensating Controls (If You Cannot Patch)

Detection & Hunting

POC

High-Level Overview of the PoC

1. Diffing the Archive Header Parsing Logic

2. Stream Iteration & Boundary Validation Changes

3. Safe Behavioral Testing

Post-Incident Response

Summary Table

References

CVE-2025-7425

CVE-2025-7529

همچنین ممکن است دوست داشته باشید

پیام بگذارید لغو پاسخ