NHS England Digital, en un
aviso publicado el 20 de noviembre de 2025, indicó que no ha detectado explotación activa de la vulnerabilidad
CVE-2025-11001 (CVSS: 7.0), aunque reconoció tener
«conocimiento de una vulnerabilidad pública con explotación de prueba de concepto».

Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en Windows mediante el abuso de enlaces simbólicos y fue corregida en la
versión 25 lanzada en julio de 2025.

«El problema reside en cómo se manejan los enlaces simbólicos en archivos ZIP. Los datos manipulados en un archivo ZIP pueden llevar al proceso a acceder a directorios no deseados»,
afirmó la Iniciativa de Día Cero (ZDI) de Trend Micro en un aviso del mes pasado.
«Un atacante podría explotar esta vulnerabilidad para ejecutar código en el contexto de una cuenta de servicio».

Cabe mencionar que la versión 25.00 de 7-Zip también soluciona otra vulnerabilidad,
CVE-2025-11002 (CVSS: 7.0), la cual permite la ejecución remota de código a través de un manejo inadecuado de enlaces simbólicos en archivos ZIP, causando un salto de directorio.
Ambas vulnerabilidades fueron introducidas en la versión 21.02.

Con la existencia de
exploits de prueba de concepto (PoC), se recomienda a los usuarios de 7-Zip que apliquen las correcciones necesarias lo más pronto posible
, si aún no lo han hecho, para asegurar su protección.

«Esta vulnerabilidad solo puede ser explotada desde una cuenta de usuario/servicio con privilegios elevados o desde una máquina con el modo de desarrollador habilitado»,
explicó el investigador de seguridad Dominik (también conocido como pacbypass), quien publicó la prueba de concepto (PoC), en un artículo que detalla la falla.
«Esta vulnerabilidad es exclusiva de Windows».

Fuente:
THN


Con Información de blog.segu-info.com.ar