Data di creazione: 22/11/2024 – 10:58

Sintesi

Rilasciati dettagli in merito a una vulnerabilità di sicurezza – già sanata dal vendor a giugno 2024 – presente nel noto software di compressione e archiviazione file open source 7-Zip. Tale vulnerabilità potrebbe essere sfruttata da un utente malintenzionato remoto per eseguire codice arbitrario sui sistemi interessati.
Note (aggiornamento del 10/12/2024): un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Tipologia

• Remote Code Execution

Prodotti e versioni affette

7-Zip, versioni precedenti alla 24.07

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-11477

Riferimenti

https://www.zerodayinitiative.com/advisories/ZDI-24-1532/

https://www.7-zip.org/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.