Vulnerabilitatea WinZip permite executarea de cod arbitrar

O vulnerabilitatea cu grad de severitate high recent dezvăluită în WinZip, urmărită ca CVE-2025-1240, permite atacatorilor de la distanță să execute cod arbitrar pe sistemele afectate prin exploatarea fișierelor arhivă 7Z malițioase.

Vulnerabilitatea, evaluată ca având un scor CvSS de 7.8/10, afectează WinZip 28.0 (Build 16022) și versiunile anterioare.

Utilizatorii sunt îndemnați să actualizeze cât mai curând posibil  la WinZip versiunea 29.0 pentru a reduce riscurile.

Vulnerabilitatea provine din validarea necorespunzătoare a datelor din fișierele 7Z în timpul analizării, permițând atacatorilor să creeze arhive malițioase care provoacă o eroare de tip out-of-bounds write în cadrul memorie.

Această corupere poate fi exploatată pentru a executa cod în contextul procesului WinZip, permițând compromiterea întregului sistem dacă este asociată cu exploatări suplimentare.

Deși atacul necesită interacțiunea utilizatorului, prezența frecventă a fișierelor 7Z în distribuția de software și în schimbul de date crește probabilitatea de succes a campaniilor de phishing.

Această vulnerabilitate marchează o creștere a exploatărilor de tip file-parsing, inclusiv o vulnerabilitate recentă Windows OLE zero-click (CVE-2025-21298) ce a permis RCE prin e-mailuri malițioase.

Astfel de incidente subliniază importanța gestionării proactive a patch-urilor, în special pentru programele utilizate pe scară largă precum WinZip, care gestionează peste 1 miliard de fișiere comprimate anual.

Sursă: https://cybersecuritynews.com/winzip-vulnerability-arbitrary-code/