کشف آسیب‌پذیری در 7-Zip Mark-of-the-Web

کشف آسیب‌پذیری در 7-Zip Mark-of-the-Web

تاریخ ایجاد

یک آسیب‌پذیری بحرانی با شناسه CVE- 2025- 0411 و شدت 7.0 در 7-Zip هنگام انتقال بیت MotW شناسایی شده است. این نقص امنیتی به مهاجمان از راه دور اجازه می‌دهد تا مکانیسم حفاظتی Mark-of-the-Web را در تأسیسات آسیب‌دیده7-Zip دور بزنند. کاربر با دانلود فایل مخرب و استخراج آن که دارای یک بایگانی دستکاری شده MotW است، سیستم خود را آلوده می کند و زمینه را برای اجرا کد دلخواه (ACX) از سمت مهاجم فراهم می‌کند.
بر اساس بردار حمله این آسیب‌پذیری CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H بهره‌برداری از آن از راه دور و با پیچیدگی زیاد قابل تکرار است (AV:N/AC:H)، این حمله بدون نیاز به سطح دسترسی و با تایید کاربر انجام می‌شود (PR:N/UI:R)، بهره‌برداری از آسیب‌پذیری مذکور بر سایر منابع امنیتی تأثیر نمی‌گذارد (S:U)، این آسیب‌پذیری تاثیر بالایی بر سه ضلع امنیت دارد (C:H/I:H/A:H).
 

محصولات تحت تأثیر

این نقص امنیتی محصول 7-Zip و تمام نسخه های قبل تر از 24.09 را تحت تاثیر قرار می‌دهد.
 

توصیه امنیتی

به کاربران توصیه می‌شود در اسرع وقت نرم‌افزار 7-Zip را به نسخه 24.09 ارتقاء دهند.
 

منابع خبر:

 


[1]https://nvd.nist.gov/vuln/detail/CVE-2025-0411
[2]https://www.zerodayinitiative.com/advisories/ZDI-25-045/