ZDIが公開した7-Zipの脆弱性 CVE-2025-11001(評価例:CVSS 7.0 High)について、研究者が技術解析と動作するPoC(概念実証コード)を公開しました。7-Zip 25.00で修正済みですが、7-Zipに自動更新がないため旧版が残りやすくPoC公開で悪用リスクが上昇します。
影響範囲
-
脆弱性の対象バージョン:7-Zip / p7zip 25.00未満
-
脆弱性の修正バージョン:修正は25.00で導入、最新は25.01
-
導入時期:問題は v21.02以降で導入された実装を起点に存在していたと解析されています。
-
プラットフォーム:Windowsで悪用可能(シンボリックリンクの扱いがWindows特有のため)。
何が問題か
7-ZipのZIP展開ロジックには、Linux形式のシンボリックリンクをWindowsのパスとして扱う際の検証不備がありました。コード差分解析によれば、リンク先パスの安全性を判定するIsSafePathやリンク解析処理の複数箇所に弱点があり、連鎖的にガードが外れてしまいます。
-
誤判定①(相対扱い)
Linux風シンボリックリンクに**C:\...のようなWindows絶対パスが含まれていても、絶対パス判定がLinux基準で行われるため相対パスと誤認**されます。 -
誤判定②(安全性チェックのすり抜け)
7-Zipは相対リンクだとみなすと、ZIP内の「そのリンクが置かれたディレクトリ」を前置して安全性をチェックします。結果としてisSafePath("zip内/任意ディレクトリ" + "C:\実際の絶対パス")
のような組み合わせが安全と見なされてしまう場合があります。 -
ガードの抜け道
さらに後段の検証は「ディレクトリ項目」にしか適用されない分岐があり、シンボリックリンクには効かないため通過してしまいます。
この連鎖により、展開時にZIP外の任意場所を指すシンボリックリンクが作られ、そのリンク配下に続けて展開されるファイルが想定外の絶対パス上へ書き込まれる事態が発生します。
悪用シナリオ(PoCの挙動)
研究者のPoCでは、まずZIP内に「絶対パス(例:C:\Users\<USER>\Desktop)」を指すリンク項目を置き、そのリンクが先に展開されるよう並び順を調整します。
続いて同じパス配下に配置した実行ファイルを展開させると、7-Zipはリンクを追従してデスクトップ等の任意ディレクトリへファイルを書き込みます。
この欠陥はWindowsでのみ実用的に悪用可能で、**管理者権限(またはWindowsの「開発者モード」でのシンボリックリンク作成許可)**が悪用の条件になります。
なぜ危険か
-
PoCが公開済みで、攻撃者がすぐ模倣できる段階にあります。
-
7-Zipは多くの端末・サーバ・自動展開ワークフローで使われ、脆弱なバージョンが残りやすい(自動更新が無い)ため、攻撃面が広いです。
-
管理者権限やサービス権限で展開された場合、高権限コンテキストでのコード配置/実行、持続化や横展開につながるリスクがあります。
対処(すぐにやること)
-
資産の棚卸し:Windows上の7-Zip / p7zipのバージョンを洗い出します(25.00未満は要更新)。
-
アップデート:ベンダが7月に公開済みの7-Zip 25.00以降(推奨:25.01)へ更新します。7-Zipは自動更新非対応のため、手動もしくはソフト配布ツール(Intune等)で計画的に適用してください。
-
一時的緩和:更新完了までの間は、
-
管理者権限で未知のZIPを展開しない、
-
Windowsの開発者モードを無効化(必要な端末を除く)し、一般ユーザーによるシンボリックリンク作成を抑止、
-
監視側で7z.exe / 7zG.exe によるsymlink作成イベントや、想定外パスへの書き込みを重点的に可視化、
といった運用でリスクを下げます。
-
参照








