Vulnerabilidad en 7-Zip Mark-of-the-Web (CVE-2025-0411)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-693
Fallo del mecanismo de protección
Fecha de publicación:
25/01/2025
Última modificación:
12/02/2025
Descripción
Vulnerabilidad de omisión de 7-Zip Mark-of-the-Web. Esta vulnerabilidad permite a atacantes remotos omitir el mecanismo de protección de la marca de la Web en las instalaciones afectadas de 7-Zip. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que el objetivo debe visitar una página maliciosa o abrir un archivo malicioso. La falla específica existe en el manejo de archivos comprimidos. Al extraer archivos de un archivo comprimido manipulado que lleva la marca de la Web, 7-Zip no propaga la marca de la Web a los archivos extraídos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código arbitrario en el contexto del usuario actual. Era ZDI-CAN-25456.
Impacto
Puntuación base 3.x
7.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:7-zip:7-zip:*:*:*:*:*:*:*:* | 24.09 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.zerodayinitiative.com/advisories/ZDI-25-045/
- http://www.openwall.com/lists/oss-security/2025/01/24/6
- https://security.netapp.com/advisory/ntap-20250207-0005/
- https://www.vicarius.io/vsociety/posts/cve-2025-0411-7-zip-mitigation-vulnerability
- https://www.vicarius.io/vsociety/posts/cve-2025-0411-detection-7-zip-vulnerability