WinZip高危漏洞曝光：远程攻击者可任意执行代码

近日，高危攻击WinZip曝出一个编号为CVE-2025-1240的漏洞高危漏洞
，远程攻击者可通过利用畸形的曝光7Z压缩包文件，在受影响的远程系统上执行任意代码 。该漏洞的可执行CVSS评分为7.8 ，影响WinZip 28.0（版本号16022）及更早版本，任意用户需升级至WinZip 29.0以规避风险。代码

漏洞成因与利用条件

该漏洞源于WinZip在解析7Z文件数据时验证不充分，高危攻击导致攻击者可构造恶意压缩包 ，亿华云漏洞引发内存中的曝光越界写入。这种内存损坏可被利用，远程在WinZip进程的可执行上下文中执行代码 ，如果与其他漏洞结合使用 ，任意甚至可能导致整个系统被攻陷。代码

关键利用条件包括：

用户交互（例如打开恶意7Z文件或访问被入侵的高危攻击网页） 
。攻击针对WinZip的7Z文件处理组件  ，这是服务器租用压缩数据的常见格式。

安全公司Zero Day Initiative（ZDI）将该漏洞编号为ZDI-CAN-24986 ，并指出鉴于WinZip在全球范围内的广泛用户基础 ，该漏洞存在被大规模滥用的风险 。

影响与潜在风险

成功利用该漏洞的攻击者可获得与当前登录用户相同的权限  ，可能导致以下后果：

安装恶意软件或勒索软件。窃取敏感数据。模板下载在内部网络中横向移动。

尽管攻击需要用户交互
，但由于7Z文件在软件分发和数据共享中的普遍性 ，成功的网络钓鱼攻击概率显著增加 。

缓解措施与补丁更新

WinZip已于2024年12月发布的WinZip 29.0（版本号16250）中修复了该漏洞。此次更新还引入了以下增强的安全措施
：

升级了7Z和RAR库
，以改进文件验证机制。优化了补丁部署流程，香港云服务器确保用户及时获取关键修复
。

用户建议
：

立即通过官方网站或内置更新程序升级至WinZip 29.0。避免打开来源不明的7Z文件。启用自动更新功能
，防范未来可能的漏洞。行业背景与警示

该漏洞的曝光正值文件解析漏洞激增之际，例如最近曝光的Windows OLE零点击漏洞（CVE-2025-21298）就允许通过恶意电子邮件实现远程代码执行。这类事件凸显了主动补丁管理的源码库重要性，尤其是像WinZip这样年处理超过10亿压缩文件的广泛使用工具。

安全分析师呼吁各组织优先更新受影响的软件，并教育用户识别可疑的文件附件
。WinZip对CVE-2025-1240的迅速响应也体现了厂商在网络安全中的责任 。用户和企业应尽快应用更新，高防服务器以化解这一高风险威胁 。

很赞哦!（7621）