7-Zip Vulnerabilities : Directory traversal et arbitrary file write octobre 2025

7-Zip : Vulnérabilités directory traversal critiques

En octobre 2025, deux vulnérabilités critiques de directory traversal sont découvertes dans 7-Zip, l'utilitaire d'archivage open-source utilisé par plus de 300 millions d'utilisateurs à travers le monde. CVE-2025-11001 et CVE-2025-11002 permettent à un attaquant de créer des archives malveillantes qui, lors de l'extraction, écrivent des fichiers en dehors du répertoire cible, pouvant compromettre totalement le système de la victime.

Gravité et portée

CVE-2025-11001 : Score CVSS 7.8/10 (High) CVE-2025-11002 : Score CVSS 7.3/10 (High)

Impact mondial massif :

300+ millions d'installations : Windows, Linux, macOS
Enterprise usage : Intégré dans de nombreux workflows d'entreprise
Attack vector : Email phishing avec archive piégée, téléchargements compromis
Exploitation triviale : Création d'archive malveillante en quelques lignes de code

Secteurs à risque :

Entreprises : Employés recevant des archives par email quotidiennement
Développeurs : Extraction de dépendances, packages tiers
Support IT : Extraction de logs, backups clients
Utilisateurs individuels : Téléchargements depuis sites non fiables

Comprendre le directory traversal

Le directory traversal (aussi appelé path traversal) exploite une mauvaise validation des chemins de fichiers dans les archives compressées. Au lieu d'extraire dans le dossier cible, des fichiers malveillants sont écrits vers des emplacements système sensibles.

Exemple concret :

Archive normale :
my-files.7z
├─ document.pdf
└─ image.jpg

Extraction → ./extraction-folder/document.pdf ✓ Safe

Archive malveillante :
malicious.7z
├─ ../../../Windows/System32/malware.dll
└─ ../../../Users/Public/startup.bat

Extraction → C:/Windows/System32/malware.dll ✗ Dangerous

Les séquences ../ permettent de "remonter" dans l'arborescence et écrire n'importe où sur le disque, si l'utilisateur a les permissions nécessaires.

Exploitation technique

Attack scenario

Malicious 7z file :
├─ Contains files with paths like : "../../../etc/passwd"
├─ Symbolic links to system files
└─ Extraction overwrites legitimate files

Result :
├─ System files modified
├─ Potential RCE (if script overwritten)
└─ Privilege escalation (if admin extracts)

Example

# Create malicious 7z
cd /tmp
mkdir -p "../../../tmp/backdoor"
echo "malware code" > "../../../tmp/backdoor/shell.sh"
7z a malicious.7z ../../../tmp/backdoor/shell.sh

# Victim extracts
7z x malicious.7z
# Files written to /tmp/backdoor/ instead of expected location

Patch et remédiation

7-Zip 24.03+ contains fixes
Download from : https://7-zip.org/
Verify version : 7z.exe -version

Plan d'action pour utilisateurs

Étape 1 - Vérifier votre version actuelle :

Windows :

"C:\Program Files\7-Zip\7z.exe" --version

Linux :

7z --version | head -n1

Si la version est inférieure à 24.03, vous êtes vulnérable.

Étape 2 - Mettre à jour immédiatement :

Windows :

Télécharger 7-Zip 24.03+ depuis https://www.7-zip.org/
Exécuter l'installateur (remplace automatiquement l'ancienne version)
Vérifier : Clic droit plus de 7-Zip > About

Linux (Ubuntu/Debian) :

sudo apt update
sudo apt install p7zip-full p7zip-rar

macOS :

brew upgrade p7zip

Étape 3 - Pour les entreprises :

Déploiement centralisé via :

GPO (Group Policy) : Déploiement silencieux sur domaine Windows
SCCM/Intune : Gestion de packages Microsoft
Ansible/Puppet : Orchestration infrastructure Linux

# Exemple script PowerShell déploiement entreprise
$installer = "7z2403-x64.msi"
$installPath = "\\fileserver\packages\$installer"

Start-Process msiexec.exe -ArgumentList "/i $installPath /quiet /norestart" -Wait

Scénarios d'attaque réels

Cas 1 : Phishing ciblé en entreprise

Un attaquant envoie un email avec sujet "Facture impayée - Action urgente" contenant invoice-2025.7z. L'archive contient :

invoice-2025.7z
├─ ../../../Windows/System32/evil.dll
├─ ../../../ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/backdoor.bat
└─ invoice.pdf (fichier légitime pour tromper)

Résultat : L'employé extrait l'archive. Les fichiers malveillants sont écrits dans System32 et Startup. Au prochain redémarrage, le backdoor s'exécute avec les privilèges de l'utilisateur (potentiellement admin).

Cas 2 : Supply chain attack

Un package npm/PyPI compromis contient une archive 7z dans ses assets. Les développeurs qui installent la dépendance extraient automatiquement l'archive, compromettant leur machine de dev et potentiellement le code source de projets confidentiels.

Cas 3 : Support technique social engineering

Un attaquant se fait passer pour un client et envoie des "logs système" au support IT. Les logs sont dans une archive 7z qui, lors de l'extraction par le technicien (qui a souvent des droits admin), installe un ransomware sur le réseau interne.

Détection d'exploitation

Indices qu'une archive malveillante a été extraite :

Fichiers inattendus dans des emplacements système :

# Linux
find /usr /etc /lib -mtime -1 -type f 2&gt;/dev/null

# Windows PowerShell
Get-ChildItem C:\Windows\System32 -Recurse | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-1)}

Logs d'extraction 7-Zip suspects :

# Rechercher extractions avec path traversal
grep -i "extract.*\.\." ~/.7z.log

Processus anormaux depuis extraction :

Nouvelles tâches planifiées créées
Services Windows modifiés
Scripts dans répertoires Startup

Prévention long terme

Best practices pour manipuler des archives :

Toujours extraire dans un répertoire isolé :

# Linux - créer dossier temporaire isolé
mkdir /tmp/extract-safe
cd /tmp/extract-safe
7z x /path/to/archive.7z
# Inspecter contenu avant de déplacer ailleurs

Utiliser un sandbox/VM pour archives non fiables :

Machine virtuelle dédiée pour extractions suspectes
Conteneur Docker isolé du système hôte
Windows Sandbox (Windows 10 Pro+)

Scanner avec antivirus avant extraction :

# Scan archive avec ClamAV
clamscan suspicious-file.7z

Vérifier signature/checksum si disponible :

# Vérifier hash SHA256
sha256sum downloaded-file.7z
# Comparer avec hash publié par source légitime

Pour les entreprises : Gateway filtering :

Bloquer archives 7z suspectes au niveau email gateway
Décompresser et scanner dans sandbox automatique (Cuckoo, YARA)
Alerter sécurité si path traversal détecté

Vulnérabilités similaires historiques

7-Zip n'est pas le premier outil d'archivage vulnérable au directory traversal :

WinRAR (CVE-2018-20250) : Exploité massivement en 2019, 500M+ utilisateurs affectés
TAR (CVE-2016-6321) : Vulnérabilité dans extraction symlinks
ZIP (Zip Slip - 2018) : Affecte de nombreuses libraries (Java, JavaScript, Go)

Le problème est récurrent car :

Formats d'archives permettent chemins arbitraires par design
Validation insuffisante dans implémentations
Trade-off sécurité vs compatibilité (bloquer tous les ../ casse des usages légitimes)

Impact de ne pas patcher

Risques pour entreprises :

Compromission poste de travail → mouvement latéral réseau
Vol de propriété intellectuelle : code source, secrets
Ransomware : Une archive piégée → tout le réseau chiffré
Compliance : RGPD, SOC2 exigent patching CVE critiques sous 30 jours

Risques pour particuliers :

Banking trojan : Vol credentials bancaires
Cryptominer : CPU utilisé pour minage crypto (facture électricité ++, PC lent)
Botnet : Machine utilisée pour DDoS, spam

Articles connexes

Pour approfondir le sujet, consultez également ces articles :

Conclusion

CVE-2025-11001 et CVE-2025-11002 dans 7-Zip représentent une menace sérieuse en raison de l'ubiquité de l'outil et de la facilité d'exploitation. Contrairement à des vulnérabilités nécessitant des compétences techniques avancées, créer une archive malveillante 7z est trivial.

Actions immédiates requises :

Mettre à jour 7-Zip vers 24.03+ sur tous les systèmes (personnel, entreprise)
Sensibiliser les utilisateurs : Ne jamais extraire d'archives de sources non fiables
Implémenter sandbox pour extraction d'archives suspectes
Scanner archives avec antivirus avant extraction
Monitorer pour détection IOC post-exploitation

Le patch est disponible, simple à déployer, et élimine complètement le risque. Ne pas l'appliquer expose à des attaques hautement probables via phishing ou supply chain compromise.

Ressources et outils :

7-Zip Official : https://www.7-zip.org/
CVE-2025-11001 Details : https://cve.mitre.org/
Zip Slip Vulnerability Research : https://snyk.io/research/zip-slip-vulnerability
OWASP Path Traversal : https://owasp.org/www-community/attacks/Path_Traversal
Windows Sandbox : https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/

7-Zip : Vulnérabilités directory traversal critiques

Gravité et portée

CVE-2025-11001 : Score CVSS 7.8/10 (High) CVE-2025-11002 : Score CVSS 7.3/10 (High)

Impact mondial massif :

300+ millions d'installations : Windows, Linux, macOS
Enterprise usage : Intégré dans de nombreux workflows d'entreprise
Attack vector : Email phishing avec archive piégée, téléchargements compromis
Exploitation triviale : Création d'archive malveillante en quelques lignes de code

Secteurs à risque :

Entreprises : Employés recevant des archives par email quotidiennement
Développeurs : Extraction de dépendances, packages tiers
Support IT : Extraction de logs, backups clients
Utilisateurs individuels : Téléchargements depuis sites non fiables

Comprendre le directory traversal

Exemple concret :

Archive normale :
my-files.7z
├─ document.pdf
└─ image.jpg

Extraction → ./extraction-folder/document.pdf ✓ Safe

Archive malveillante :
malicious.7z
├─ ../../../Windows/System32/malware.dll
└─ ../../../Users/Public/startup.bat

Extraction → C:/Windows/System32/malware.dll ✗ Dangerous

Les séquences ../ permettent de "remonter" dans l'arborescence et écrire n'importe où sur le disque, si l'utilisateur a les permissions nécessaires.

Exploitation technique

Attack scenario

Malicious 7z file :
├─ Contains files with paths like : "../../../etc/passwd"
├─ Symbolic links to system files
└─ Extraction overwrites legitimate files

Result :
├─ System files modified
├─ Potential RCE (if script overwritten)
└─ Privilege escalation (if admin extracts)

Example

# Create malicious 7z
cd /tmp
mkdir -p "../../../tmp/backdoor"
echo "malware code" > "../../../tmp/backdoor/shell.sh"
7z a malicious.7z ../../../tmp/backdoor/shell.sh

# Victim extracts
7z x malicious.7z
# Files written to /tmp/backdoor/ instead of expected location

Patch et remédiation

7-Zip 24.03+ contains fixes
Download from : https://7-zip.org/
Verify version : 7z.exe -version

Plan d'action pour utilisateurs

Étape 1 - Vérifier votre version actuelle :

Windows :

"C:\Program Files\7-Zip\7z.exe" --version

Linux :

7z --version | head -n1

Si la version est inférieure à 24.03, vous êtes vulnérable.

Étape 2 - Mettre à jour immédiatement :

Windows :

Télécharger 7-Zip 24.03+ depuis https://www.7-zip.org/
Exécuter l'installateur (remplace automatiquement l'ancienne version)
Vérifier : Clic droit plus de 7-Zip > About

Linux (Ubuntu/Debian) :

sudo apt update
sudo apt install p7zip-full p7zip-rar

macOS :

brew upgrade p7zip

Étape 3 - Pour les entreprises :

Déploiement centralisé via :

GPO (Group Policy) : Déploiement silencieux sur domaine Windows
SCCM/Intune : Gestion de packages Microsoft
Ansible/Puppet : Orchestration infrastructure Linux

# Exemple script PowerShell déploiement entreprise
$installer = "7z2403-x64.msi"
$installPath = "\\fileserver\packages\$installer"

Start-Process msiexec.exe -ArgumentList "/i $installPath /quiet /norestart" -Wait

Scénarios d'attaque réels

Cas 1 : Phishing ciblé en entreprise

Un attaquant envoie un email avec sujet "Facture impayée - Action urgente" contenant invoice-2025.7z. L'archive contient :

invoice-2025.7z
├─ ../../../Windows/System32/evil.dll
├─ ../../../ProgramData/Microsoft/Windows/Start Menu/Programs/Startup/backdoor.bat
└─ invoice.pdf (fichier légitime pour tromper)

Cas 2 : Supply chain attack

Cas 3 : Support technique social engineering

Détection d'exploitation

Indices qu'une archive malveillante a été extraite :

Fichiers inattendus dans des emplacements système :

# Linux
find /usr /etc /lib -mtime -1 -type f 2&gt;/dev/null

# Windows PowerShell
Get-ChildItem C:\Windows\System32 -Recurse | Where-Object {$_.LastWriteTime -gt (Get-Date).AddDays(-1)}

Logs d'extraction 7-Zip suspects :

# Rechercher extractions avec path traversal
grep -i "extract.*\.\." ~/.7z.log

Processus anormaux depuis extraction :

Nouvelles tâches planifiées créées
Services Windows modifiés
Scripts dans répertoires Startup

Prévention long terme

Best practices pour manipuler des archives :

Toujours extraire dans un répertoire isolé :

# Linux - créer dossier temporaire isolé
mkdir /tmp/extract-safe
cd /tmp/extract-safe
7z x /path/to/archive.7z
# Inspecter contenu avant de déplacer ailleurs

Utiliser un sandbox/VM pour archives non fiables :

Machine virtuelle dédiée pour extractions suspectes
Conteneur Docker isolé du système hôte
Windows Sandbox (Windows 10 Pro+)

Scanner avec antivirus avant extraction :

# Scan archive avec ClamAV
clamscan suspicious-file.7z

Vérifier signature/checksum si disponible :

# Vérifier hash SHA256
sha256sum downloaded-file.7z
# Comparer avec hash publié par source légitime

Pour les entreprises : Gateway filtering :

Bloquer archives 7z suspectes au niveau email gateway
Décompresser et scanner dans sandbox automatique (Cuckoo, YARA)
Alerter sécurité si path traversal détecté

Vulnérabilités similaires historiques

7-Zip n'est pas le premier outil d'archivage vulnérable au directory traversal :

WinRAR (CVE-2018-20250) : Exploité massivement en 2019, 500M+ utilisateurs affectés
TAR (CVE-2016-6321) : Vulnérabilité dans extraction symlinks
ZIP (Zip Slip - 2018) : Affecte de nombreuses libraries (Java, JavaScript, Go)

Le problème est récurrent car :

Formats d'archives permettent chemins arbitraires par design
Validation insuffisante dans implémentations
Trade-off sécurité vs compatibilité (bloquer tous les ../ casse des usages légitimes)

Impact de ne pas patcher

Risques pour entreprises :

Compromission poste de travail → mouvement latéral réseau
Vol de propriété intellectuelle : code source, secrets
Ransomware : Une archive piégée → tout le réseau chiffré
Compliance : RGPD, SOC2 exigent patching CVE critiques sous 30 jours

Risques pour particuliers :

Banking trojan : Vol credentials bancaires
Cryptominer : CPU utilisé pour minage crypto (facture électricité ++, PC lent)
Botnet : Machine utilisée pour DDoS, spam

Articles connexes

Pour approfondir le sujet, consultez également ces articles :

Conclusion

Actions immédiates requises :

Mettre à jour 7-Zip vers 24.03+ sur tous les systèmes (personnel, entreprise)
Sensibiliser les utilisateurs : Ne jamais extraire d'archives de sources non fiables
Implémenter sandbox pour extraction d'archives suspectes
Scanner archives avec antivirus avant extraction
Monitorer pour détection IOC post-exploitation

Le patch est disponible, simple à déployer, et élimine complètement le risque. Ne pas l'appliquer expose à des attaques hautement probables via phishing ou supply chain compromise.

Ressources et outils :

7-Zip Official : https://www.7-zip.org/
CVE-2025-11001 Details : https://cve.mitre.org/
Zip Slip Vulnerability Research : https://snyk.io/research/zip-slip-vulnerability
OWASP Path Traversal : https://owasp.org/www-community/attacks/Path_Traversal
Windows Sandbox : https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-sandbox/

7-Zip Vulnerabilities : Directory traversal et arbitrary file write octobre 2025

Sommaire

Sources

À propos de Marie Laurent

Sommaire

Protection Zero Trust pour vos workloads

7-Zip Vulnerabilities : Directory traversal et arbitrary file write octobre 2025

Sommaire

Sources

À propos de Marie Laurent

Sommaire

Protection Zero Trust pour vos workloads

Articles similaires

Articles similaires