Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00670

Опубликовано: 01 окт. 2024
Источник: fstec
CVSS3: 7
CVSS2: 6.2
EPSS Средний

Описание

Уязвимость механизма защиты Mark-of-the-Web архиватора 7-Zip связана с нарушением механизма защиты данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код в контексте текущего пользователя

Вендор

ООО «Ред Софт»
Павлов Игорь

Наименование ПО

РЕД ОС
7-Zip

Версия ПО

7.3 (РЕД ОС)
до 24.09 (7-Zip)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,2)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.7-zip.org
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-7zip-cve-2025-0411/?sphrase_id=715719

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 97%
0.36788
Средний

7 High

CVSS3

6.2 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250212-17

redos
4 месяца назад

Уязвимость 7zip

ubuntu логотип

CVE-2025-0411

CVSS3: 7
ubuntu
5 месяцев назад

7-Zip Mark-of-the-Web Bypass Vulnerability. This vulnerability allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user. Was ZDI-CAN-25456.

nvd логотип

CVE-2025-0411

CVSS3: 7
nvd
5 месяцев назад

7-Zip Mark-of-the-Web Bypass Vulnerability. This vulnerability allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user. Was ZDI-CAN-25456.

debian логотип

CVE-2025-0411

CVSS3: 7
debian
5 месяцев назад

7-Zip Mark-of-the-Web Bypass Vulnerability. This vulnerability allows ...

github логотип

GHSA-2pjx-wvcg-vhr8

CVSS3: 7
github
5 месяцев назад

7-Zip Mark-of-the-Web Bypass Vulnerability. This vulnerability allows remote attackers to bypass the Mark-of-the-Web protection mechanism on affected installations of 7-Zip. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file. The specific flaw exists within the handling of archived files. When extracting files from a crafted archive that bears the Mark-of-the-Web, 7-Zip does not propagate the Mark-of-the-Web to the extracted files. An attacker can leverage this vulnerability to execute arbitrary code in the context of the current user. Was ZDI-CAN-25456.

EPSS

Процентиль: 97%
0.36788
Средний

7 High

CVSS3

6.2 Medium

CVSS2