A vulnerabilidade 7-Zip voltou ao centro das atenções após pesquisadores confirmarem que criminosos digitais estão explorando ativamente a falha CVE-2025-11001, uma brecha grave que permite execução remota de código (RCE) por meio da manipulação de arquivos ZIP maliciosos. Como o 7-Zip é amplamente utilizado em Windows e Linux (via p7zip), a superfície de ataque é massiva e atinge desde usuários domésticos até profissionais de TI.
O objetivo deste artigo é alertar sobre a exploração ativa dessa falha, explicar como o ataque funciona e orientar sobre a atualização imediata para a versão 7-Zip 25.00, que corrige as duas vulnerabilidades críticas recentemente divulgadas, a CVE-2025-11001 e a CVE-2025-11002. Ambas estão sendo monitoradas por autoridades e equipes de segurança, incluindo o NHS England Digital, que confirmou casos de exploração real em ambientes corporativos.
Diante da gravidade, é essencial entender como essas falhas operam e por que representam um risco direto para qualquer pessoa que use esse popular utilitário de compressão.
O que é a falha CVE-2025-11001 e por que ela é crítica
A CVE-2025-11001 foi classificada com pontuação CVSS 7.0, refletindo um nível de severidade alto. A falha foi documentada pela Zero Day Initiative (ZDI), que descreveu um cenário no qual o 7-Zip interpreta incorretamente certos arquivos ZIP preparados com links simbólicos maliciosos, permitindo que o invasor realize travessia de diretórios para acessar locais inesperados no sistema.
Quando combinada com permissões inadequadas ou configurações específicas do sistema, essa exploração pode resultar em execução remota de código, abrindo caminho para a instalação de malware, roubo de dados e comprometimento completo da máquina.
A mecânica do ataque: links simbólicos e travessia de diretórios
Para entender o ataque, é preciso compreender o papel dos links simbólicos, objetos especiais que apontam para outros diretórios ou arquivos. Em condições normais, eles são usados para facilitar a organização do sistema, mas quando manipulados de forma maliciosa, podem redirecionar o processo de extração para locais sensíveis.
A exploração ocorre quando o 7-Zip processa um ZIP contendo um link simbólico especialmente construído. O utilitário segue esse link e extrai arquivos em diretórios fora do caminho previsto, caracterizando a travessia de diretórios. Isso permite que o atacante escreva arquivos arbitrários em pastas do sistema, viabilizando a execução de comandos e scripts nocivos.
Essa técnica é particularmente perigosa porque atua de forma silenciosa, exigindo apenas que o usuário extraia um arquivo aparentemente inofensivo.
Condições e limitações da exploração
Embora grave, a vulnerabilidade 7-Zip apresenta algumas condições específicas para ser explorada em Windows. A exploração completa requer que o atacante tenha acesso a privilégios elevados ou que o usuário esteja com o modo desenvolvedor ativado no sistema operacional. Nessas condições, o utilitário fica mais permissivo ao processar links simbólicos.
Usuários de distribuições Linux que utilizam o p7zip, entretanto, podem enfrentar riscos maiores dependendo das permissões locais de escrita e execução, já que a implementação pode lidar com links simbólicos de forma diferente.
CVE-2025-11002: a falha irmã
Junto da CVE-2025-11001, a versão 25.00 do 7-Zip também corrige a CVE-2025-11002, outra vulnerabilidade de execução remota de código explorável pela manipulação de links simbólicos em arquivos ZIP. Embora menos discutida, ela compartilha a mesma base técnica e aumenta ainda mais a urgência de aplicar o patch.
Ambas as falhas, quando combinadas, ampliam o vetor de ataque e tornam sistemas desatualizados alvos fáceis para invasores.
Como se proteger: atualização imediata é obrigatória
A única mitigação eficaz e oficialmente recomendada é atualizar imediatamente o 7-Zip para a versão 25.00, lançada em julho de 2025. Essa versão corrige completamente tanto a CVE-2025-11001 quanto a CVE-2025-11002, eliminando o vetor de exploração baseado em links simbólicos.
Para verificar sua versão atual, basta abrir o 7-Zip e acessar o menu “Ajuda” seguido de “Sobre”. Caso a versão instalada seja inferior a 25.00, a atualização é obrigatória.
Usuários de Linux devem verificar se sua distribuição já disponibilizou o pacote atualizado do p7zip, e caso ainda não esteja disponível nos repositórios, é recomendável aplicar a atualização manual ou aguardar o pacote oficial, tomando cuidado redobrado ao manipular arquivos ZIP desconhecidos.
Como essa é uma ferramenta crítica de sistema, utilizada em fluxos diários de trabalho, é essencial que a atualização seja tratada como prioridade máxima.
Conclusão e impacto
A exploração ativa da vulnerabilidade 7-Zip reforça como mesmo ferramentas simples e amplamente confiáveis podem representar riscos graves se não forem mantidas atualizadas. O caso das falhas CVE-2025-11001 e CVE-2025-11002 demonstra que utilitários de compressão, apesar de parecerem inofensivos, são vetores poderosos para ataques sofisticados.
A melhor defesa é sempre a aplicação rápida de patches e a adoção de práticas de segurança proativas. Atualize agora o 7-Zip para a versão 25.00, verifique o status nos seus dispositivos e compartilhe este alerta com colegas e equipes de TI para reduzir o impacto dessas explorações.
A segurança do seu sistema depende de ações rápidas e consistentes, especialmente diante de ameaças que já estão sendo exploradas no mundo real.
