Le score CVSS fixé à 2,7 par MITRE range la faille CVE-2025-55188 dans la catégorie des vulnérabilités considérées comme peu sévères. Landon conteste ouvertement cette note en expliquant que la possibilité d’écrire dans l’ensemble du disque peut avoir des conséquences bien plus graves. Injecter un script à exécution automatique ou altérer un fichier clé ne demande alors qu’un seul geste de l’utilisateur.
Un autre problème est que 7-Zip ne propose aucun système de mise à jour automatique. Les utilisateurs doivent installer eux-mêmes la nouvelle version, ce qui retarde souvent la correction et maintient les ordinateurs exposés plus longtemps. Dans un réseau d’entreprise, la mise à jour manuelle sur chaque poste peut prendre plusieurs semaines, parfois des mois.
La version 25.01 modifie la gestion des liens symboliques. Par défaut, toute tentative d’accès à des zones critiques est bloquée sauf si l’utilisateur active volontairement une commande avancée (-snld20). Les spécialistes interrogés estiment que cette option ne devrait être employée que dans des conditions maîtrisées.
Cette vulnérabilité s’ajoute à deux autres découvertes cette année dans 7-Zip, identifiées sous les références CVE-2025-0411 et CVE-2024-11477.