Pada tanggal 22 Oktober 2025, tim peneliti dari Secure ISS menemukan dua masalah kerentanan Remote Code Execution (RCE) yang serius di aplikasi 7-Zip untuk versi sebelum 25.00. Masalah tersebut adalah CVE-2025-11001 dan CVE-2025-11002, yang memiliki nilai CVSS v3. 1 sebesar 9. 8 (Kritis). Kerentanan ini terjadi akibat kesalahan dalam menangani symbolic link ketika memproses file arsip ZIP, yang memberi kesempatan kepada penyerang untuk menyisipkan payload berbahaya ke dalam direktori sistem yang penting melalui teknik directory traversal.
Untuk kerentanan pertama, CVE-2025-11002, masalah ini muncul karena adanya parsing file directory traversal yang memungkinkan symbolic link untuk ekstraksi file ke lokasi sembarangan seperti C:WindowsSystem32. Sementara itu, CVE-2025-11001 memberikan kesempatan untuk eksekusi kode secara langsung ketika pengguna membuka arsip tertentu tanpa perlu interaksi lebih lanjut. Serangan ini menjadi ancaman besar bagi pengguna perusahaan yang melakukan proses ekstraksi arsip otomatis dari email, unduhan web, atau drive bersama yang tidak terpercaya, yang berpotensi menyebabkan pencurian data sensitif, pemasangan ransomware, backdoor, atau bahkan penguasaan penuh atas server.
Penyerang telah aktif memanfaatkan kerentanan ini dalam kampanye ZIP bomb serta teknik “gabung ZIP” untuk melewati perlindungan antivirus, menurut laporan dari CSIRT Indonesia. Di Indonesia, aplikasi 7-Zip banyak digunakan oleh para admin IT dan developer, yang menjadikan ancaman ini sangat relevan bagi sektor keuangan, industri, dan pemerintahan.
Langkah mitigasi yang disarankan mencakup segera memperbarui ke versi 7-Zip 25. 00 atau yang lebih baru, menonaktifkan dukungan symbolic link dalam pengaturan, memeriksa semua proses ekstraksi otomatis, menerapkan sandboxing untuk file arsip dari sumber eksternal, dan memantau log untuk aktivitas yang mencurigakan seperti perubahan pada %SystemRoot%. Selain itu, pengguna juga diingatkan untuk melakukan pemindaian malware setelah ekstraksi dan menerapkan prinsip keistimewaan terendah pada akun proses.