As falhas, identificadas como CVE-2025-11001 e CVE-2025-11002 pela Zero Day Initiative da Trend Micro, são do tipo 'directory traversal'.

O problema reside na incapacidade do 7-Zip de lidar corretamente com ligações simbólicas em ficheiros ZIP. Um atacante pode criar um ficheiro ZIP malicioso que, ao ser extraído, escreve ficheiros fora da pasta de destino pretendida.

Esta ação pode levar à execução de código malicioso no sistema da vítima com os mesmos privilégios do utilizador, representando uma ameaça significativa, especialmente em sistemas Windows.

A exploração requer que o utilizador descarregue e abra o ficheiro ZIP manipulado.

As vulnerabilidades foram reportadas à equipa do 7-Zip em maio e corrigidas pelo seu responsável, Igor Pavlov, na versão 25.00, lançada a 5 de julho.

No entanto, como o 7-Zip não possui uma funcionalidade de atualização automática, um número significativo de utilizadores, especialmente aqueles com sistemas mais antigos, pode ainda estar a utilizar versões vulneráveis. A recomendação de segurança é clara: atualizar imediatamente para a versão mais recente (25.01 ou superior) e evitar a abertura de ficheiros ZIP de fontes desconhecidas ou não confiáveis.