WinRAR目录遍历漏洞允许通过恶意文件执行任意代码
💡
原文中文,约1300字,阅读约需4分钟。
📝
内容提要
WinRAR软件存在高危漏洞CVE-2025-6218,攻击者可通过特制压缩文件执行任意代码。该漏洞需用户交互,RARLAB已发布安全更新,建议用户升级至WinRAR 7.11版本以确保系统安全。
🎯
关键要点
- WinRAR软件存在高危漏洞CVE-2025-6218,攻击者可通过特制压缩文件执行任意代码。
- 该漏洞需用户交互,如下载或打开恶意压缩包,或访问被攻陷的网页。
- RARLAB已发布安全更新,建议用户升级至WinRAR 7.11版本以确保系统安全。
- 漏洞CVSS评分为7.8,影响WinRAR处理压缩包内目录路径的方式。
- 该漏洞允许攻击者在当前用户权限下执行恶意代码,存在重大安全风险。
- 攻击者利用特制的包含目录遍历序列的压缩文件,可能导致文件写入非预期目录。
- 技术分析显示,该漏洞存在于WinRAR处理压缩包文件的路径处理例程中。
- 受影响产品为RARLAB WinRAR(2025年6月19日补丁发布前的所有版本)。
- 各组织应优先考虑此更新,以防止潜在的远程代码执行攻击。
❓
延伸问答
WinRAR的CVE-2025-6218漏洞是什么?
CVE-2025-6218是WinRAR中的一个高危漏洞,允许攻击者通过特制的压缩文件执行任意代码。
这个漏洞需要用户做什么才能被利用?
该漏洞需要用户交互,例如下载或打开恶意压缩包,或访问被攻陷的网页。
RARLAB对这个漏洞采取了什么措施?
RARLAB已发布安全更新,建议用户升级至WinRAR 7.11版本以确保系统安全。
CVE-2025-6218漏洞的CVSS评分是多少?
该漏洞的CVSS评分为7.8,属于高危级别。
这个漏洞可能导致什么样的安全风险?
该漏洞允许攻击者在当前用户权限下执行恶意代码,存在重大安全风险。
WinRAR的哪些版本受到此漏洞影响?
所有在2025年6月19日补丁发布前的RARLAB WinRAR版本均受到影响。
🏷️
标签
➡️
