WinRAR中的路径遍历脆弱性CVE-2025-8088

WinRAR是一款功能强大的压缩包管理器，它是档案工具RAR在Windows环境下的图形界面，可用于备份数据，缩减电子邮件附件的大小。

一、基本情况

WinRAR是一个文件压缩管理共享软件，由Eugene Roshal（全名是：Roshal ARchive）开发，是压缩率较大、压缩速度较快的格式之一。

WinRAR 是共享软件，任何人都可以在40天的测试期内使用它，如果希望在测试过期之后继续使用则必须注册，没有其它附加许可费用。

栋科技漏洞库关注到WinRAR的Windows版本存在一个路径遍历漏洞，漏洞现已经被追踪为CVE-2025-8088，漏洞的CVSS 4.0评分为8.4。

二、漏洞分析

CVE-2025-8088漏洞是WinRAR的Windows版本存在的路径遍历漏洞，攻击者可通过创建恶意压缩文件执行任意代码，漏洞已被实际利用。

ESET的研究人员于2025年07月18日时发现一个存在于WinRAR中的在野外被利用的未知零日漏洞，该漏洞后续被分配为CVE-2025-8088。

ESET的安全研究人员Anton Cherepanov、Peter Košinár和Peter Strýček发现的这一路径遍历漏洞，通过使用替代数据流得以实现该漏洞。

ESET的安全研究人员在例行进行安全分析的时候，发现了这个在野外被俄罗斯支持的组织RomCom利用的之前在WinRAR中未知的漏洞。

2025年07月18日，ESET安全研究人员观察到一个恶意DLL名为msedge.dll在包含不寻常路径的RAR档案中，这些路径引起了他们的注意。

安全人员进一步分析后发现，攻击者正在利用一个先前未知的漏洞，影响WinRAR，包括当时的最新版本7.12。

2025年07月24日，ESET安全研究人员联系了WinRAR的开发者。

2025年07月24日，该漏洞被修复并发布了WinRAR 7.13测试版。

2025年07月30日，WinRAR 7.13正式版发布，建议WinRAR用户尽快安装最新版本以减轻风险。

请注意，依赖于公开的Windows版本UnRAR.dll或其相应源代码的软件解决方案也会受到影响，特别是那些没有更新其依赖项的解决方案。

攻击者特别精心制作了该档案，表面上只包含一个无害的文件，但实际上它包含许多恶意ADS（从用户的角度看，没有迹象表明这一点）。

一旦受害者打开这个看似无害的文件，WinRAR 会将其以及所有其属性流解压。

例如，对于 Eli_Rosenfeld_CV2 - Copy (10).rar，一个恶意的 DLL 被部署到 %TEMP%。

同样，一个恶意的 LNK 文件被部署到 Windows 启动目录，从而通过用户登录时的执行来实现持久化。

为了提高成功率，攻击者提供了多个具有相对路径元素（..\\）的父目录相对深度的ADS（附加数据流）。

然而，这引入了不存在的路径，WinRAR对此进行了明显的警告。

有趣的是，攻击者添加了包含假数据的ADS，这些ADS的路径预计是无效的。

我们怀疑攻击者添加了这些内容，以便受害者不会注意到可疑的DLL和LNK路径。

只有在WinRAR用户界面中向下滚动时，才会显示出可疑的路径，如下图所示。

三、影响范围

WinRAR <= 7.12

四、修复建议

WinRAR >= 7.12

五、参考链接

管理员已设置登录后刷新可查看