7-ZipにZIP解凍時のパストラバーサル 脆弱性(CVE-2025-11001,CVE-2025-11002)、今すぐアップデートを

セキュリティニュース

投稿日時: 更新日時:

7-ZipにZIP解凍時のパストラバーサル 脆弱性(CVE-2025-11001,CVE-2025-11002)、今すぐアップデートを

圧縮・解凍ソフト「7-Zip」に、ZIPアーカイブ内のシンボリックリンク(symlink)の扱いに起因する脆弱性が見つかりました。脆弱性は CVE-2025-11002(ZDI-25-950 / ZDI-CAN-26743)および、同系統の CVE-2025-11001 として公開され、いずれも CVSS 7.0(High)。修正は 7-Zip 25.00 で提供されています。

なお 7-Zipは自動更新機能がありません。したがって、脆弱性(CVE-2025-11001/11002)の修正を取り込むには、自身で 25.00 以降へ更新する必要があります。情報システム部門は社内で定期的に告知と更新の確認を行う必要があります。

脆弱性の概要

7-Zipに、ZIPアーカイブ内のシンボリックリンク(symlink)の処理不備を突くパストラバーサル脆弱性が確認されています。

細工されたZIPを開く/展開すると意図しないディレクトリへ書き込みが発生し、条件がそろうと任意コード実行に悪用され得ます(CVE-2025-11002、および同系統のCVE-2025-11001、CVSS 7.0)。ユーザー操作が引き金になりますが、自動解凍ジョブ等の環境では影響が拡大するおそれがあります。

脆弱性の対象バージョン

7-Zip 25.00未満のすべてのバージョンが影響を受けます。ZIP内のsymlinkにより展開先を逸脱できる可能性があり、サービスアカウント権限でのファイル置換・コード実行につながるリスクがあります。

脆弱性の対策バージョン

本件は 7-Zip 25.00 で修正されています。最新バージョン(25.00以降)へ速やかに更新してください。併せて、アップデートまでの暫定策としては、未知のZIPの自動展開を停止し、展開処理でパスの正規化とsymlinkエントリの拒否を徹底することが有効です。

問題点

問題の核心は、ZIPに含まれるシンボリックリンクを正しく検証しないことです。細工されたZIPを処理すると、

本来の展開先ディレクトリから意図しない場所へディレクトリを横断(パストラバーサル)して書き込みが発生する可能性があります。結果として、任意の場所にファイルを配置・上書きでき、条件がそろうと任意コード実行に至ります。

この挙動は、ユーザーがZIPを開く/展開するなどの操作を行った際に誘発されます(AV:L / UI:R、攻撃難易度はAC:H)。ただし、企業の自動展開ジョブやバックアップ・ファイル連携基盤など、ZIPを人手を介さず処理する環境では、影響が増幅する恐れがあります。

7-Zipは自動更新機能が無い

標準の 7-Zip(公式 MSI/EXE 版)は自動更新機能がありません。したがって、脆弱性(CVE-2025-11001/11002)の修正を取り込むには、ご自身で 25.00 以降へ更新する必要があります。
※各OSのパッケージマネージャ(例:winget/Chocolatey、Linuxのディストロ倉庫)経由で導入している場合は、その仕組みの自動更新設定に従いますが、いずれも7-Zip本体が自動でパッチを当てるわけではありません。