11 月 28 日消息，Zero Day Initiative（ZDI）团队于 11 月 20 日发布博文，披露了解压缩工具 7-Zip 中发现的严重漏洞，攻击者利用该漏洞，可以执行远程代码。

查询公开资料，该漏洞追踪编号为 CVE-2024-11477，存在于 Zstandard 解压缩的实现中，缺乏对用户输入数据的校验，可能引发整数下溢，进而被恶意利用。

攻击者需要诱导用户打开恶意压缩文件，才能利用此漏洞，目前没有证据表明该漏洞被黑客广泛利用，不过 CVSS 评分高达 7.8，属于高危级别。

ZDI 团队在今年年初发现该漏洞后，于 2024 年 6 月报告给 7-Zip 团队，目前已在 7-Zip 24.07 及后续版本中修复。