De la teoría a la práctica: exploits para vulnerabilidades críticas de 7-Zip caen en manos de hackers
Tres años sin detectar las vulnerabilidades; ahora cualquiera puede ejecutar el ataque.
Desde la divulgación de dos vulnerabilidades críticas en 7-Zip ha pasado muy poco tiempo, pero la situación ha cambiado radicalmente — en abierto han aparecido exploits PoC funcionales, que permiten reproducir un ataque con suplantación de la ruta de extracción e inserción de archivos arbitrarios. Esto hace que el ataque sea mucho más probable, especialmente en entornos corporativos donde los archivos comprimidos se procesan automáticamente. Ya no se trata solo de una amenaza teórica, sino de la posibilidad confirmada de ejecución de código en entornos Windows.
Ambas vulnerabilidades — CVE-2025-11001 y CVE-2025-11002 — afectan al manejo incorrecto de enlaces simbólicos al descomprimir archivos ZIP. El programa convierte enlaces simbólicos al estilo Linux en rutas de Windows sin comprobar si apuntan fuera del directorio de extracción. Esto permite dirigir la extracción a ubicaciones arbitrarias, incluidos los directorios del sistema. En el ejemplo demostrativo, el enlace simbólico apunta al Escritorio y, a continuación, se extrae un archivo ejecutable que queda en ese directorio. Si el usuario lo ejecuta, se produce la ejecución de código.
Los problemas afectan a las versiones de 7-Zip desde la 21.02 hasta la 24.09. Los especialistas determinaron que el fallo está en la lógica del módulo ArchiveExtractCallback.cpp, en particular en las funciones IsSafePath y CLinkLevelsInfo::Parse. Eludir las protecciones se produce incluso cuando la ruta parece relativa pero en realidad apunta fuera de la carpeta de destino. La actualización 25.00 corrige estas vulnerabilidades, introduciendo comprobaciones adicionales, soporte para la bandera isWSL y un tratamiento más preciso de las rutas absolutas.
El peligro se agrava porque el exploit publicado bajo el seudónimo pacbypass confirma la posibilidad de inserción dirigida de archivos. No requiere una infección masiva, pero puede emplearse para atacar a un usuario concreto con privilegios administrativos o a un sistema en modo desarrollador. El código funciona solo en Windows, pero esa plataforma es la principal entre los usuarios de 7-Zip.
Los desarrolladores implementaron la protección en la versión 25.00, cerrando ambos vectores — la omisión directa y el uso de rutas UNC, potencialmente peligrosas para carpetas de red. No obstante, con la aparición de exploits PoC existe la amenaza de que estas técnicas se integren en ataques más complejos, especialmente en escenarios de phishing o mediante el uso de archivos comprimidos infectados para el acceso inicial.
Se recomienda a los usuarios actualizar 7-Zip a la versión más reciente, desactivar el soporte de enlaces simbólicos y vigilar cuidadosamente los lugares de extracción y las operaciones de escritura en directorios sensibles. La situación confirma que incluso pequeñas desviaciones en la lógica de manejo de archivos comprimidos pueden provocar consecuencias graves.
Las huellas digitales son tu debilidad, y los hackers lo saben