7-Zip se considera desde hace años un compresor ligero, fiable y seguro. Sin embargo, un aviso reciente de NHS England Digital ha cambiado este escenario: se ha confirmado la explotación activa de la vulnerabilidad CVE-2025-11001 en entornos Windows, lo que obliga a organizaciones y usuarios finales a actualizar de forma urgente a 7-Zip 25.00 para reducir el riesgo de compromiso.
Detalles de la vulnerabilidad CVE-2025-11001 en 7-Zip
La vulnerabilidad CVE-2025-11001 ha sido valorada con una puntuación de 7,0 en la escala CVSS, lo que la sitúa en el nivel de severidad alto. El fallo reside en la gestión incorrecta de enlaces simbólicos (symlinks) dentro de archivos ZIP procesados por 7-Zip en sistemas Windows.
Un archivo ZIP especialmente manipulado puede “engañar” al motor de descompresión para que siga una cadena de enlaces simbólicos y escriba o lea fuera de la ruta prevista. Este comportamiento abre la puerta a escenarios donde un atacante puede ejecutar código arbitrario con los permisos del usuario que lanza 7-Zip.
El impacto práctico depende directamente del nivel de privilegios de dicha cuenta. En entornos domésticos suele implicar la comprometida del perfil de usuario, mientras que en redes corporativas puede derivar en el control parcial o total del sistema, acceso a datos sensibles y movimiento lateral dentro de la red.
Cómo se explota CVE-2025-11001 en Windows mediante enlaces simbólicos
Papel de los enlaces simbólicos en la vulnerabilidad de 7-Zip
Un enlace simbólico es un tipo especial de archivo que apunta a otro archivo o carpeta. En el contexto de la vulnerabilidad de 7-Zip, un ZIP malicioso puede incluir una cadena de symlinks cuidadosamente construida para que, durante la extracción, el programa termine escribiendo en directorios no previstos, potencialmente sensibles o protegidos.
El investigador de seguridad conocido como pacbypass publicó un exploit de prueba de concepto (PoC) para CVE-2025-11001, demostrando la viabilidad del ataque. De acuerdo con su análisis, el fallo es específico de Windows y no se reproduce en otros sistemas operativos soportados por 7-Zip, lo que apunta a particularidades del manejo de symlinks en el ecosistema Windows.
Condiciones necesarias para una explotación exitosa
Según la documentación técnica disponible, la explotación fiable de CVE-2025-11001 suele requerir uno de estos escenarios:
- Ejecución de 7-Zip bajo una cuenta privilegiada o de servicio con permisos elevados sobre el sistema.
- Uso de un equipo con Developer Mode (modo desarrollador) habilitado, lo que facilita el trabajo con enlaces simbólicos y amplifica su impacto sobre el sistema de archivos.
Estos requisitos convierten a la vulnerabilidad en especialmente crítica en entornos corporativos y de infraestructura, donde 7-Zip se utiliza de forma automatizada en scripts, tareas programadas y servicios que frecuentemente se ejecutan con cuentas altamente privilegiadas.
CVE-2025-11002 y versiones de 7-Zip afectadas
Junto con CVE-2025-11001, la versión 7-Zip 25.00 corrige otra vulnerabilidad relacionada: CVE-2025-11002, también calificada con 7,0 en CVSS. Este segundo fallo afecta de manera similar al tratamiento de enlaces simbólicos y puede permitir ejecución remota de código al abrir un archivo ZIP malicioso.
Ambas vulnerabilidades se introdujeron en el código de 7-Zip después de la versión 21.02. Por tanto, se consideran vulnerables todas las compilaciones lanzadas entre la 21.02 y la 25.00 que no incorporen los parches correspondientes. Para organizaciones que mantienen imágenes “congeladas” de sistemas durante años, esto supone una ventana de exposición prolongada si no se revisan y actualizan dichas imágenes.
Alerta de NHS England Digital y riesgo de ataques reales
Durante la última semana, NHS England Digital ha comunicado oficialmente que CVE-2025-11001 está siendo explotada en incidentes reales. Aunque no se han detallado actores concretos, sectores objetivo ni cadenas completas de ataque, el reconocimiento de explotación activa combinado con la existencia de PoC públicos incrementa significativamente el nivel de riesgo.
La experiencia recogida por organismos como ENISA y CISA muestra que, una vez existe un exploit funcional y un vector popular como 7-Zip, los atacantes suelen incorporar rápidamente la vulnerabilidad a campañas masivas automatizadas, incluyendo correos de phishing con archivos ZIP, ataques a la cadena de suministro y compromisos de servidores donde 7-Zip se utiliza en procesos backend.
Medidas de mitigación y recomendaciones para asegurar 7-Zip
La medida más eficaz es actualizar inmediatamente 7-Zip a la versión 25.00, que incluye los parches para CVE-2025-11001 y CVE-2025-11002. Dado que 7-Zip no dispone de actualización automática, la organización debe:
- Descargar el instalador únicamente desde el sitio oficial de 7-Zip.
- Verificar, cuando sea posible, la integridad del archivo mediante sumas de comprobación.
- Desplegar la nueva versión en todas las estaciones de trabajo, servidores, imágenes maestras y contenedores donde se utilice 7-Zip.
Como medidas adicionales de ciberseguridad se recomienda:
- Restringir el uso de 7-Zip con cuentas administrativas o de servicio, aplicando el principio de mínimo privilegio.
- Revisar las políticas de tratamiento de archivos ZIP externos, especialmente los recibidos por correo electrónico o desde orígenes no confiables.
- Actualizar el inventario de software para localizar versiones antiguas de 7-Zip en directorios olvidados, scripts heredados y copias de seguridad.
- Habilitar y revisar registros y alertas relacionados con la extracción de archivos en sistemas críticos, de forma que se puedan detectar patrones anómalos.
La explotación de CVE-2025-11001 y CVE-2025-11002 ilustra de nuevo cómo una herramienta ampliamente extendida puede convertirse en vector de ataque si no se mantiene actualizada. Adoptar procesos sólidos de gestión de parches, limitar los privilegios de las cuentas de servicio y extremar la precaución con archivos comprimidos de origen externo son pasos esenciales para reforzar la resiliencia frente a este tipo de vulnerabilidades y reducir significativamente la superficie de ataque de la organización.
