La faille CVE-2025-55188 permet à des intrus d’écrire directement dans des répertoires sensibles lors de l’ouverture d’une archive piégée. Linux et Windows sont concernés, même si les conditions d’exploitation ne sont pas identiques.

Attention si 7-ZIP est votre outil de décompression de fichiers - ©Robert Martinez, vectorized by CryptWizard, chris, and Vulphere
Attention si 7-ZIP est votre outil de décompression de fichiers - ©Robert Martinez, vectorized by CryptWizard, chris, and Vulphere
L'info en 3 points
  • Le 9 août, le chercheur Landon a publié une faille dans 7‑Zip (CVE‑2025‑55188) permettant à des archives piégées d’utiliser des liens symboliques trompeurs.
  • Avant la version 25.01, 7‑Zip suivait ces liens et pouvait écrire dans des répertoires sensibles : sous Linux un simple clic suffit, sous Windows des droits élevés sont requis.
  • La version 25.01 (3 août) corrige le comportement en bloquant l’accès aux zones critiques par défaut ; la mise à jour reste manuelle et le score CVSS 2,7 est jugé trop faible par des experts.

C'est tout frais, ou tout chaud, selon qu'on dequel côté de la canicule on se trouve. Le 9 août dernier, le chercheur en cybersécurité Landon diffuse publiquement les détails d’un défaut de sécurité dans 7-Zip, une des outils favroris de compression de fichiers. La vulnérabilité exploite des liens symboliques intégrés dans des archives modifiées. Au moment de l’extraction, ces liens peuvent rediriger des fichiers vers des zones critiques du disque sans avertissement visible. Sous Linux, un clic sur un fichier infecté suffit à écraser des données sensibles comme une clé SSH ou un script système. Sous Windows, l’attaquant doit obtenir des droits administrateur ou activer le mode développeur, mais dans certains contextes ces conditions sont réunies. MITRE a attribué à cette faille un score CVSS de 2,7, classement qui la range parmi les vulnérabilités mineures. Plusieurs professionnels estiment que cet indice sous-estime gravement les risques. La version 25.01 de 7-Zip lancée le 3 août intègre un correctif.

7-Zip
7-Zip
  • Open source et libre.
  • Le format 7z offre de bonnes performances en compression.
10 / 10
Télécharger

Quand une archive détourne le chemin des fichiers

Dans les versions antérieures à la 25.01, 7-Zip suit les liens symboliques présents dans une archive comme s’il s’agissait de chemins de dossiers standards. Cette mécanique offre à un pirate la possibilité rediriger les fichiers extraits vers des répertoires système stratégiques. L’utilisateur croit manipuler des documents inoffensifs alors que l’archive insère des scripts ou remplace des fichiers essentiels. Landon précise que 7-Zip affiche le chemin des fichiers avant de résoudre les liens symboliques, un fonctionnement qui occulte leur destination réelle.

Sous Linux, la manipulation se déroule sans obstacle technique. Un fichier compressé au format ZIP, TAR, 7Z ou RAR récupéré sur internet ou par messagerie peut déposer directement du contenu dans des espaces sensibles. Les effets vont du blocage d’un service jusqu’à la prise de contrôle complète de la machine.

Sous Windows, l’attaque devient possible si l’extraction est effectuée avec des droits élevés ou sur une machine configurée pour le développement. Dans cette situation, aucun verrou logiciel n’empêche l’ajout ou la modification de fichiers dans des répertoires comme Program Files ou Windows System.

Sous Linux, un fichier compressé au format ZIP, TAR, 7Z ou RAR récupéré sur internet ou par messagerie peut déposer directement du contenu dans des espaces sensibles © Fauzi Muda / Shutterstock

Un classement officiel qui minimise la portée réelle

Le score CVSS fixé à 2,7 par MITRE range la faille CVE-2025-55188 dans la catégorie des vulnérabilités considérées comme peu sévères. Landon conteste ouvertement cette note en expliquant que la possibilité d’écrire dans l’ensemble du disque peut avoir des conséquences bien plus graves. Injecter un script à exécution automatique ou altérer un fichier clé ne demande alors qu’un seul geste de l’utilisateur.

Un autre problème est que 7-Zip ne propose aucun système de mise à jour automatique. Les utilisateurs doivent installer eux-mêmes la nouvelle version, ce qui retarde souvent la correction et maintient les ordinateurs exposés plus longtemps. Dans un réseau d’entreprise, la mise à jour manuelle sur chaque poste peut prendre plusieurs semaines, parfois des mois.

La version 25.01 modifie la gestion des liens symboliques. Par défaut, toute tentative d’accès à des zones critiques est bloquée sauf si l’utilisateur active volontairement une commande avancée (-snld20). Les spécialistes interrogés estiment que cette option ne devrait être employée que dans des conditions maîtrisées.

Cette vulnérabilité s’ajoute à deux autres découvertes cette année dans 7-Zip, identifiées sous les références CVE-2025-0411 et CVE-2024-11477.

Source : Cyber Security News