En el software 7-Zip acaban de revelarse dos fallos de alta severidad que permiten a atacantes remotos ejecutar código arbitrario si un usuario abre un archivo ZIP malicioso. Estos errores, identificados como CVE-2025-11001 y CVE-2025-11002, se aprovechan de cómo 7-Zip maneja enlaces simbólicos dentro del archivo comprimido, permitiendo que el contenido escape del directorio previsto durante la extracción.


¿cómo funciona el ataque?
Las vulnerabilidades surgen cuando 7-Zip procesa enlaces simbólicos (symlinks) maliciosamente construidos dentro de un archivo ZIP. En esos casos, la extracción puede escribir archivos fuera de la carpeta destino o colocar payloads en ubicaciones sensibles del sistema, lo que permite que el atacante controle el flujo de ejecución con los privilegios del usuario afectado. Para que el ataque tenga éxito, el usuario debe abrir o extraer el archivo comprometido, lo que convierte la interacción humana en el punto clave de explotación.

¿cómo protegerse y qué medidas tomar?
La acción inmediata es actualizar 7-Zip a la versión 25.00 o superior, que ya incluye los parches necesarios para eliminar ambos fallos. Dado que 7-Zip no cuenta con un sistema de actualización automática, es recomendable descargar manualmente la nueva versión desde su sitio oficial e instalarla sobre la existente. También se aconseja mantener activa la protección antivirus, evitar abrir archivos comprimidos de origen desconocido y realizar copias de seguridad frecuentes de los datos importantes.

Mientras esperas la actualización, evita extraer archivos ZIP sospechosos o provenientes de fuentes poco confiables.

Un programa creado para comprimir y ordenar termina siendo una puerta de entrada para descomprimir la seguridad del sistema.