解凍ソフトとして世界中で広く使用されている「7-Zip」において、2025年7月、2件の脆弱性(CVE-2025-53816とCVE-2025-53817)が連続して公表されました。いずれもサービス妨害(DoS)を引き起こす可能性があり、最新バージョンv25.00で修正済みです。
これらは任意コード実行(RCE)には直結しないものの、7-Zipは自動アップデートが存在しない為、システム管理者や開発者は迅速な対応が求められます。
目次
CVE-2025-53816:RAR5形式の復旧処理におけるヒープバッファオーバーフロー
RAR5形式のアーカイブを展開する処理において、破損データを復旧する過程でゼロで埋めるバッファサイズを誤計算し、ヒープメモリの外にゼロを書き込んでしまう脆弱性です。
-
発見者:Jaroslav Lobačevski(GitHub Security Lab)
-
脆弱性種別:CWE-122(ヒープベースのバッファオーバーフロー)
-
深刻度:CVSS v4.0スコア 5.5(中程度)
影響
-
特定のRAR5アーカイブファイルを処理するだけで、**7-Zipが異常終了(DoS)**する
-
任意コード実行の可能性は低いが、攻撃者が書き込み量を制御可能
-
Windows・Linux両方で再現可能
修正バージョン
この脆弱性は7-Zip v25.00で修正されています。
CVE-2025-53817:Compound Document(OLE形式)解析中のクラッシュ
Microsoft Officeなどで使われるCompound Document(複合ドキュメント)形式のファイルに対する処理の中で、不正な構造を持つファイルを読み込むとクラッシュする脆弱性です。
-
脆弱性種別:メモリ破損によるアプリケーションクラッシュ(DoS)
-
公開日:2025年7月21日
-
深刻度:CVSS v4.0スコア 5.5(中程度)
影響
-
細工されたOLEファイルを処理すると、7-Zipが強制終了
-
自動化処理の中での使用(メールスキャンや添付ファイル展開等)において、処理全体の停止を引き起こす可能性あり
修正バージョン
こちらも7-Zip v25.00にて修正されています。








