El compresor gratuito 7-Zip, ampliamente utilizado para gestionar archivos comprimidos en Windows y Linux, ha vuelto a ser protagonista por motivos de seguridad. Investigadores del Trend Micro Zero Day Initiative (ZDI) han publicado los detalles de dos fallos graves de seguridad que pueden permitir a un atacante ejecutar código arbitrario en el sistema de la víctima con solo abrir o extraer un archivo ZIP malicioso.
Vulnerabilidades CVE-2025-11001 y CVE-2025-11002
Los dos fallos afectan al manejo de enlaces simbólicos (symlinks) dentro de archivos ZIP. Según el informe, un atacante puede crear un archivo comprimido manipulado que, al ser descomprimido, salte fuera del directorio original y escriba archivos en otras ubicaciones del sistema, incluyendo rutas sensibles del usuario o del propio sistema operativo.
Esto permite reemplazar archivos legítimos por versiones alteradas que ejecuten código malicioso con los permisos del usuario. Ambas vulnerabilidades cuentan con una puntuación CVSS de 7.0, lo que las clasifica como de alta gravedad. En la práctica, basta con abrir o extraer un archivo ZIP malicioso para activar el ataque, sin necesidad de interacción adicional.
El creador de 7-Zip, Igor Pavlov, corrigió ambos fallos en la versión 25.00 (julio de 2025) y publicó posteriormente la 25.01 (agosto de 2025) con mejoras adicionales de seguridad. Sin embargo, 7-Zip no cuenta con actualizaciones automáticas, y muchos usuarios siguen utilizando versiones antiguas o portátiles que nunca se actualizan, lo que deja a numerosos equipos vulnerables.
Riesgo ampliado por falta de actualización
El problema se agrava porque 7-Zip, al no instalarse mediante Windows Installer ni repositorios centralizados, no suele formar parte de las políticas de parcheo corporativo. En entornos empresariales, esto puede dejar múltiples estaciones de trabajo expuestas durante meses.
No es la primera vez que 7-Zip presenta fallos de seguridad. En marzo, otra vulnerabilidad (CVE-2025-0411) permitía eludir la protección Mark-of-the-Web de Windows mediante archivos ZIP anidados, lo que eliminaba los avisos de seguridad al abrir archivos descargados. Aquella brecha se cerró con la versión 24.09, pero muchos usuarios tampoco actualizaron entonces.
Cómo proteger tu sistema
Para protegerse, se recomienda instalar manualmente la versión 25.01 o posterior desde la web oficial de 7-Zip. El proceso de actualización conserva la configuración existente y sustituye la versión vulnerable automáticamente.
En equipos con múltiples usuarios o administrados de forma remota, conviene verificar la versión instalada y distribuir la actualización manualmente. Hasta hacerlo, se aconseja evitar abrir archivos ZIP de origen desconocido o recibidos por correo sin verificar su procedencia.
Actualizar solo lleva un minuto, pero bloquea una vía de ataque que podría comprometer el sistema completo.
Vía: Guru3D
