¡Actualiza 7‑Zip ya! Dos vulnerabilidades críticas permiten a cibercriminales acceder directamente a tu equipo
Tras tres meses de silencio, los investigadores hacen pública la información.
Dos vulnerabilidades críticas en el archivador 7-Zip permitían ejecutar código arbitrario de forma remota al procesar archivos ZIP. Los errores están relacionados con la manera en que el programa trata los enlaces simbólicos dentro de los archivos, lo que posibilita salir de los directorios permitidos y sustituir archivos del sistema.
Los problemas se registran con los identificadores CVE-2025-11002 y CVE-2025-11001. En ambos casos, basta que el atacante prepare un archivo ZIP con una estructura especial que incluya enlaces que apunten a directorios externos. Cuando una versión vulnerable de 7-Zip descomprime ese archivo, el programa sigue el enlace y extrae contenido fuera de la carpeta de destino. Esto permite reemplazar o inyectar componentes maliciosos en áreas críticas del sistema.
Un ataque posible se describe así: se crea un archivo que contiene un elemento que apunta, por ejemplo, a una biblioteca maliciosa en el directorio system32. Si dicho archivo se descomprime por un proceso con privilegios de administrador, la biblioteca llega al directorio del sistema y puede ejecutarse automáticamente —a través de una tarea programada o al cargarse el módulo correspondiente. Para explotar la falla no se requieren privilegios elevados; basta la interacción del usuario con el archivo malicioso.
Según equipos de investigación, la amenaza es especialmente peligrosa para sistemas corporativos donde los archivos ZIP se procesan automáticamente — durante copias de seguridad, intercambio de archivos o instalación de actualizaciones. En esos escenarios, la ejecución de código arbitrario puede llevar a la compromisión de toda la infraestructura.
Los desarrolladores de 7-Zip corrigieron las vulnerabilidades en la versión 25.00. La actualización implementa una verificación estricta de las rutas y el bloqueo de enlaces simbólicos que salgan de los límites del directorio de descompresión. Los responsables del software fueron informados el 2 de mayo de 2025, la corrección salió el 5 de julio y el aviso público se publicó el 7 de octubre.
Los especialistas recomiendan instalar la última versión del programa y revisar los sistemas donde los archivos se descomprimen automáticamente. Indicios de compromiso pueden ser la aparición de bibliotecas o ejecutables desconocidos en directorios protegidos y la existencia de archivos ZIP con rutas sospechosamente largas en los nombres.
La actualización oportuna del software, la revisión de los registros de operación y la filtración del contenido de los archivos archivados siguen siendo una protección fiable frente a este tipo de ataques.
¿Estás cansado de que Internet sepa todo sobre ti?