漏洞预警 | 7-Zip代码执行漏洞CVE-2024-11477

永恒之锋实验室 Eonian Sharp 2024-11-28 10:50

1

漏洞描述

7-Zip是一款免费的开源文件压缩和解压工具,支持7z、zip、rar、cab、gzip、bzip2、tar等多种压缩文件格式,7-Zip中修复了一个代码执行漏洞（CVE-2024-11477）,该漏洞的CVSS评分为7.8。

7-Zip Zstandard解压缩实现中存在漏洞,由于对用户提供的数据缺乏适当验证,可能导致在写入内存前发生整数下溢,攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压,当目标用户使用受影响的7-Zip解压缩该文件时可能触发漏洞,从而可能导致在受影响的7-Zip安装上执行任意代码。

2

影响范围

7-Zip <24.07

3

修复建议

升级版本目前该漏洞已经修复,受影响用户可升级到以下版本：

7-Zip >=24.07

https://www.7-zip.org/