Rilevata vulnerabilità in 7-Zip (AL01/241122/CSIRT-ITA) – Aggiornamento

Sintesi

Rilasciati dettagli in merito a una vulnerabilità di sicurezza – già sanata dal vendor a giugno 2024 – presente nel noto software di compressione e archiviazione file open source 7-Zip. Tale vulnerabilità potrebbe essere sfruttata da un utente malintenzionato remoto per eseguire codice arbitrario sui sistemi interessati.
Note (aggiornamento del 10/12/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Rischio (aggiornato al 10/12/2024)

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (76,66/100)¹.

Tipologia

• Remote Code Execution

Prodotti e versioni affette

7-Zip, versioni precedenti alla 24.07

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-11477

Riferimenti

https://www.zerodayinitiative.com/advisories/ZDI-24-1532

https://www.7-zip.org

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.