1. 漏洞概述

2024 年 11 月 26 日，安全运营中心监测到 7-Zip 代码执行漏洞，漏洞编号：CVE-2024-11477，漏洞威胁等级：高危。

2. 漏洞详情

7-Zip 是一款免费的开源文件压缩和解压工具，支持 7z、zip、rar、cab、gzip、bzip2、tar 等多种压缩文件格式。

7-Zip Zstandard 解压缩实现中存在漏洞，由于对用户提供的数据缺乏适当验证，可能导致在写入内存前发生整数下溢，攻击者可能通过构造包含特制数据或压缩内容的恶意文件并诱使目标用户解压，当目标用户使用受影响的 7-Zip 解压缩该文件时可能触发漏洞，从而可能导致在受影响的 7-Zip 安装上执行任意代码。

3. 影响版本

7-Zip < 24.07

4. 处置建议

1. 目前该漏洞已经修复，受影响用户可升级到以下版本：7-Zip >= 24.07。

下载链接：https://www.7-zip.org/。

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651

联系人：安宇彬

邮箱：anyb@cernet.com

电话：18698430210