Vulnérabilité trouvée dans 7-Zip (AL01/241122/CSIRT-ITA) – Mise à jour

Synthèse

Des détails ont été publiés concernant une vulnérabilité de sécurité – déjà corrigée par le fournisseur en juin 2024 – présente dans le célèbre logiciel open source de compression et d’archivage de fichiers 7-Zip. Cette vulnérabilité pourrait être exploitée par un attaquant distant pour exécuter du code arbitraire sur les systèmes affectés.
Notes (mise à jour le 10/12/2024) : un Proof of Concept (PoC) pour exploiter la vulnérabilité est disponible en ligne.

Risque (mis à jour le 12/10/2024)

Impact estimé de la vulnérabilité sur la communauté de référence : GRAVE/ROUGE (76,66/100)¹.

Typologie

• Remote Code Execution

Produits et versions concernés

7-Zip, versions antérieures au 24.07

Mesures d’atténuation

Lorsqu’il n’est pas fourni, il est recommandé de mettre à jour les produits vulnérables en suivant les instructions du bulletin de sécurité signalé dans la section Références.

Identificateurs de vulnérabilité uniques

CVE-2024-11477

Références

https://www.zerodayinitiative.com/advisories/ZDI-24-1532

https://www.7-zip.org

¹Cette estimation est réalisée en tenant compte de différents paramètres, parmi lesquels : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.