WinRAR目录遍历漏洞允许通过恶意文件执行任意代码
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
WinRAR软件存在高危漏洞CVE-2025-6218,攻击者可通过特制压缩文件执行任意代码。该漏洞需用户交互,RARLAB已发布安全更新,建议用户升级至WinRAR 7.11版本以确保系统安全。
🎯
关键要点
- WinRAR软件存在高危漏洞CVE-2025-6218,攻击者可通过特制压缩文件执行任意代码。
- 该漏洞需用户交互,如下载或打开恶意压缩包,或访问被攻陷的网页。
- RARLAB已发布安全更新,建议用户升级至WinRAR 7.11版本以确保系统安全。
- 漏洞CVSS评分为7.8,影响WinRAR处理压缩包内目录路径的方式。
- 该漏洞允许攻击者在当前用户权限下执行恶意代码,存在重大安全风险。
- 攻击者利用特制的包含目录遍历序列的压缩文件,可能导致文件写入非预期目录。
- 技术分析显示,该漏洞存在于WinRAR处理压缩包文件的路径处理例程中。
- 受影响产品为RARLAB WinRAR(2025年6月19日补丁发布前的所有版本)。
- 各组织应优先考虑此更新,以防止潜在的远程代码执行攻击。
🏷️
标签
➡️
