Winrar连续修补两起中高危险漏洞

darkangel0224

7.12版紧急修复CVE-2025-6218；7.13版再修复CVE-2025-8088

如果转投7-zip，记得用24.09版或以上修了CVE-2025-0411的

https://www.win-rar.com/whatsnew.html

https://cloud.tencent.com/developer/article/2549784

0x01 漏洞描述

漏洞的根本原因在于WinRAR对文件路径的处理不当，恶意构造的文件路径可能导致进程访问不该访问的目录，从而在当前用户上下文中执行恶意代码。

0x02 CVE编号

CVE-2025-6218

0x03 影响版本

WinRAR ≤ 7.11

https://m.ithome.com/html/874754.htm

网络安全公司 ESET 昨日（8 月 11 日）发布博文，详细披露了追踪编号为 CVE-2025-8088 的 WinRAR 漏洞，且有证据表明有黑客组织 RomCom（又称 Storm-0978、Tropical Scorpius）正利用该漏洞攻击用户，向受害者电脑植入多种恶意软件。

ESET 于 2025 年 7 月 18 日在分析可疑攻击样本后，识别出该漏洞并第一时间通报 WinRAR 开发方。

据 ESET 报告，攻击者通过构造特定 RAR 压缩包，利用 WinRAR 路径遍历缺陷，将恶意 DLL、EXE 及 LNK 文件隐藏于“备用数据流”（ADS）中。

在用户解压文件之后，这些恶意文件被提取到 % TEMP%、% LOCALAPPDATA% 等临时目录，以及 Windows 启动目录，从而实现在系统启动时自动运行恶意程序，部分 ADS 条目则故意指向无效路径，用于干扰用户视线，掩盖实际威胁。

ESET 进一步揭示了三条典型攻击链，分别对应 RomCom 旗下的三大恶意软件：Mythic Agent、SnipBot 及 MeltingClaw。攻击流程通常借助 Windows 快捷方式（LNK 文件）引导加载 DLL、解密并执行 Shellcode，最终建立与攻击者的远程控制（C2）通信，下载后续恶意模块。

值得注意的是，俄罗斯本土安全公司 Bi.Zone 也监测到另一攻击团伙“Paper Werewolf”利用该漏洞实施类似攻击，显示 CVE-2025-8088 的利用已呈多发趋势。

zerona

国内的杀毒软件有更新这个检测么？在用bandzip，不是很想升它那个高级版本，但是7z的右键菜单作的太菜了。

勿徊哉

同问bandzip，一般bandizip用来解压，winrar用来压缩。
所以winrar漏洞其实无所谓

Realplayer

什么软件会进行遍历

Jet.Black

看了一下，现在用Winrar 6.x，刚升级了7.13

木星

实在不理解一个解压缩进程怎么会导致恶意代码执行，本质上是邮局员工根据包裹的标签干坏事？？？

只能是这个邮局故意在处理机制上留了漏洞了。

—— 来自 OnePlus PJE110, Android 14, 鹅球 v3.5.99

King5268

这个有点吓人了

百猪夜行

不知道7z有没有影响，已经全面换成7z了。

—— 来自 Xiaomi 25042PN24C, Android 15, 鹅球 v3.5.99-alpha

木星

现在扣分理由都这么随意了吗，讨论一个技术疑问被扣分是什么想法？

indtability

木星 发表于 2025-8-22 12:53
现在扣分理由都这么随意了吗，讨论一个技术疑问被扣分是什么想法？

你那是技术问题吗？你都预设答案了，而且是一个严肃且恶意的答案，两行字轻描淡写就断定人家有恶意，既不专业也不严谨。
水平不行，恶意揣测，事后装无辜说什么“讨论技术疑问”，我也想扣分。

darkangel0224

Realplayer 发表于 2025-8-22 06:38
什么软件会进行遍历

引用这个的说法

https://cloud.tencent.com/developer/article/2556108

漏洞主要源于其压缩包文件路径验证机制的设计缺陷。

该漏洞的核心问题在于：当用户执行解压操作时，系统未能正确校验压缩包内预设的文件路径与用户实际指定的目标路径之间的差异。攻击者可精心构造包含特殊相对路径符号（例如"..\"）的压缩包，利用这一缺陷绕过安全限制，将恶意文件非法写入系统启动目录等关键位置。

从技术层面来看，该漏洞本质上属于路径遍历防护机制的失效，使得攻击者能够突破目录隔离限制，实现任意位置的非法文件写入。

当用户不慎解压此类恶意RAR文件时，攻击者即可悄无声息地将恶意程序植入系统敏感区域，进而达成远程控制受感染系统的最终目的。

HSNYKE/EKPL

木星 发表于 2025-8-22 12:53
现在扣分理由都这么随意了吗，讨论一个技术疑问被扣分是什么想法？

压缩文件利用路径的点和斜杠越级访问其父级的漏洞算是一个老漏洞了，这个漏洞都不知道就预先给抱着恶意看待软件开发者，我不认为你是打算认真讨论的
这次是利用了Windows的NTFS，在普通的文件上写了额外的数据导致的，因此只对Windows系统有影响

慕容断月

还好刚刚升了7.13，不过平时主力压缩解压用的peazip，不知道他们有没有跟进7z的模块

—— 来自 鹅球 v3.5.99

zerona

慕容断月 发表于 2025-8-22 15:35
还好刚刚升了7.13，不过平时主力压缩解压用的peazip，不知道他们有没有跟进7z的模块

—— 来自 鹅球 v3.5. ...

问下你用的这个pezip能预览压缩包里的文件么？类似bandzip哪种，还有它能对右键菜单的项目自我设定快捷键么？

pgain2004

zerona 发表于 2025-8-22 01:35
国内的杀毒软件有更新这个检测么？在用bandzip，不是很想升它那个高级版本，但是7z的右键菜单作的太菜了。 ...

https://www.423down.com/9735.html
当然担心破解有问题就算了

zerona

pgain2004 发表于 2025-8-22 18:49
https://www.423down.com/9735.html
当然担心破解有问题就算了

谢了。我看看的。

shinjiikari

感谢通知，已经好久不用rar了，改用7z了，但包里几万个rar还真担心

其实吧，rar可以考虑用台湾tc版，有通用授权的，不用用麻烦的大陆sc版

zmw_831110

shinjiikari 发表于 2025-8-22 19:16
感谢通知，已经好久不用rar了，改用7z了，但包里几万个rar还真担心

其实吧，rar可以考虑用台湾tc版，有通 ...

简体中文版也有学习版啊

游客，本帖隐藏的内容需要积分高于 5000 才可浏览，您当前积分为 0

ma05758

感谢分享信息  主用winrar 备用7z  都得升级了

shinjiikari

zmw_831110 发表于 2025-8-22 20:38
简体中文版也有学习版啊
**** 本内容被作者隐藏 ****

我的印象还留在rar大陆代理疯狂律师函那个时候

嘛，反正不用也就无所谓了，感谢通知

木星

好的，严谨的同志，请解疑一下，”压缩和解压缩某段数据，并释放到特定路径目录下”，是一个非常复杂的程序实现吗？
rar不是开源软件，作为一个老牌压缩软件，两次出现类似漏洞，在一个非官方论坛质疑一下，有问题？

—— 来自 OnePlus PJE110, Android 14, 鹅球 v3.5.99

pgain2004

木星 发表于 2025-8-22 22:31
好的，严谨的同志，请解疑一下，”压缩和解压缩某段数据，并释放到特定路径目录下”，是一个非常复杂的程序 ...

“质疑一下”
“只能是”

慕容断月

zerona 发表于 2025-8-22 17:36
问下你用的这个pezip能预览压缩包里的文件么？类似bandzip哪种，还有它能对右键菜单的项目自我设定快捷键 ...

预览压缩包图片之类的那是bandizip自己组件联动，别的暂时做不到

右键菜单设置快捷键好像有看到，因为从没用过所以你可以下一个看看，反正这玩意开源免费，也算是linux下最常用的解压软件了

慕容断月

zmw_831110 发表于 2025-8-22 20:38
简体中文版也有学习版啊
**** 本内容被作者隐藏 ****

主要是繁体版可以直接去官网下了，然后扔一个key文件就完事，有些人可能信不过某些学习版，所以官方版也不是不能用

但台湾的用语看着真别扭，得脑子里转个弯就是了

木星

哈，有点意思，扣分的，你的严谨态度和心胸，现实中一定生活遂顺

—— 来自 OnePlus PJE110, Android 14, 鹅球 v3.5.99

diohanmilton

现在就是办公习惯，我个人都直接打zip了。

—— 来自 鹅球 v3.3.96-alpha

pgain2004

木星 发表于 2025-8-23 07:21
哈，有点意思，扣分的，你的严谨态度和心胸，现实中一定生活遂顺

—— 来自 OnePlus PJE110, Android 14,  ...

别误会，我是扣你嘴硬
你不在乎严谨地质疑，那别人不在乎谨慎地扣鹅，这不挺搭的嘛
一个注册接近两年12回复的号，真想回点鹅办法有的是，就怕你又嘴硬“我一点也不在乎鹅”哦

disinter

pgain2004 发表于 2025-8-23 08:11
别误会，我是扣你嘴硬
你不在乎严谨地质疑，那别人不在乎谨慎地扣鹅，这不挺搭的嘛
一个注册接近两年12回 ...

如果不是我注册17年只有4鹅我就真信了

diohanmilton

慕容断月 发表于 2025-8-23 05:31
主要是繁体版可以直接去官网下了，然后扔一个key文件就完事，有些人可能信不过某些学习版，所以官方版也 ...

https://github.com/n2far2000/winrarsc

无广告版简中 自己找个key文件放进去就行了

—— 来自 鹅球 v3.3.96-alpha

Lazia

只是去广告的话装官方版然后exe用resource hacker删行代码就行了。

atomicink

看了下我的还是5.4

diohanmilton

最近做了个辅助办公脚本，把报告批量打包成rar（公司mes只支持rar上传）。
python没有相关库。
然后我看rar的文档里有命令行使用的。然后调用命令行打包成功了。

是不是rar的商业协议不允许其他软件生成rar文件，调用当前的rar.exe命令也不允许。

onezer0618

买了 bandzip 的专业版之后就一直用 bandzip 了，弃用 7z 的原因是有些压缩包 7z 没法解压

—— 来自 vivo V2405A, Android 15, 鹅球 v3.5.99-alpha

henvelleng

电脑上装了winrar和7zip两个压缩软件，大部分时候用的是winrar。主要是有的压缩包，指定用winrar来解，而有的却指定用7z来解，就很搞笑

—— 来自 Xiaomi 23117RK66C, Android 15, 鹅球 v3.5.99

mishidexieyu

同时用的nanazip和winrar，用winrar主要是批量将多个文件压缩成单独的一个个压缩包这个功能，不知道还有哪个压缩软件有

lzrtwilight

mishidexieyu 发表于 2025-8-26 01:43
同时用的nanazip和winrar，用winrar主要是批量将多个文件压缩成单独的一个个压缩包这个功能，不知道还有哪 ...

BANDIZIP ，楼上也出现过很多次了，挺好用的

gnihton314

zerona 发表于 2025-8-22 01:35
国内的杀毒软件有更新这个检测么？在用bandzip，不是很想升它那个高级版本，但是7z的右键菜单作的太菜了。 ...

那用nanazip呗