Se ha descubierto una vulnerabilidad crítica de corrupción de la memoria en el popular Archiver de archivos 7-ZIP que permite a los atacantes desencadenar condiciones de denegación de servicio al crear archivos de archivo RAR5 maliciosos.
La vulnerabilidad, rastreada como CVE-2025-53816 y designada GHSL-2025-058, afecta todas las versiones de 7-ZIP antes de la versión 25.00.
El investigador de seguridad Jaroslav Lbačevski descubrió la vulnerabilidad del Laboratorio de Seguridad GitHub y se le ha asignado una puntuación CVSS de 5.5, colocándola en el rango de gravedad media.
Si bien es poco probable que la falla conduzca a la ejecución de código arbitraria, plantea riesgos significativos para ataques de denegación de servicio contra los sistemas que procesan archivos de archivo no confiables.
Vulnerabilidad de corrupción de memoria de 7 ZIP
La vulnerabilidad proviene de un desbordamiento de búfer basado en el montón en la implementación del decodificador RAR5 de 7-ZIP. Específicamente, la falla ocurre en el componente NCOMPress :: NRAR5 :: CDECODER cuando el software intenta recuperarse de datos de archivo corruptos llenando secciones dañadas con ceros.
La causa raíz se encuentra en un error de cálculo del valor REM durante las operaciones de cero de memoria. Al procesar los archivos RAR5, el decodificador llama a my_zeromemory (_window + _winpos, (size_t) REM) donde el parámetro REM se calcula como _lzend – lzSize.
Sin embargo, la variable _lzend depende del tamaño de los elementos anteriores en el archivo, que los atacantes pueden controlar.
Este error de cálculo permite a los atacantes escribir ceros más allá del búfer de montón asignado, corrompiendo potencialmente las regiones de memoria adyacentes y causando bloqueos de aplicación.
Las pruebas con DirectSanitizer (ASAN) demostraron que los archivos RAR5 especialmente elaborados pueden activar los desbordamientos del búfer de montón, con una prueba de concepto que causa una escritura de 9,469 bytes más allá del búfer asignado.
7-ZIP es una de las utilidades de archivo de archivos más utilizados del mundo, con el sitio web oficial que recibe más de 1.3 millones de visitas mensuales y el software descargó millones de veces a través de varios canales de distribución.
La popularidad del software en entornos personales y empresariales amplifica el impacto potencial de esta vulnerabilidad.
Las vulnerabilidades de corrupción de memoria como esta pueden tener consecuencias severas, incluidos los bloqueos del sistema, la corrupción de datos y las interrupciones del servicio.
Si bien es poco probable que esta vulnerabilidad específica habilite la ejecución de código remoto, proporciona a los atacantes un método confiable para bloquear los procesos de 7 ZIP, potencialmente interrumpiendo los sistemas de procesamiento de archivos automatizados o los flujos de trabajo de los usuarios.
La vulnerabilidad es particularmente preocupante porque los archivos de archivo se han convertido en la mejor opción para los ataques cibernéticos, lo que representa el 39% de todos los métodos de entrega de malware según la investigación reciente de amenazas.
Los actores maliciosos explotan regularmente las vulnerabilidades de procesamiento de archivos para evitar medidas de seguridad y entregar cargas útiles.
Línea de tiempo y respuesta de divulgación
La vulnerabilidad se divulgó de manera responsable a través de un proceso de divulgación coordinado:
24 de abril de 2025: informó como un tema privado para los desarrolladores de 7-ZIP 29 de abril de 2025: Informe reconocido por el equipo de desarrollo 5 de julio de 2025: fijo en la versión de 7-ZIP 25.00
Desarrollador Igor Pavlov se dirigió al Vulnerabilidad en 7-ZIP 25.00, que se lanzó el 5 de julio de 2025. La actualización también incluye mejoras de rendimiento y una utilización mejorada de hilos de CPU para operaciones de compresión.
Los expertos en seguridad recomiendan encarecidamente que todos los usuarios de 7-ZIP se actualicen inmediatamente a la versión 25.00 o posterior. Dado que 7-ZIP carece de funcionalidad de actualización automática, los usuarios deben descargar e instalar manualmente la última versión desde el sitio web oficial.
Las organizaciones que procesan los archivos de archivo no confiables deben implementar medidas de seguridad adicionales, incluida la restricción del acceso a archivos RAR5 potencialmente maliciosos e implementar la validación integral de archivos antes del procesamiento.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
