趋势科技近日收到来自安全研究员 whs3-detonator 的私密报告,指出知名压缩管理器 WinRAR(版本 7.11 及更早)中存在一个严重安全漏洞:CVE-2025-6218。该漏洞允许攻击者通过构造恶意压缩文件,在受害者打开压缩包时远程执行任意代码。
漏洞评分为 CVSS 7.8(高危),类型为 远程代码执行(RCE),漏洞的核心问题在于 WinRAR 存在目录遍历缺陷,攻击者可利用该缺陷绕过路径限制,将恶意文件写入系统中的任意位置,从而触发后续攻击。
攻击方式解析
-
攻击者制作一个特制的恶意压缩文件,并将其上传至互联网上(如伪装成诱人的破解软件、文档资源等);
-
用户下载该文件,并使用 WinRAR 打开;
-
在不知情的情况下,WinRAR 执行攻击者植入的路径遍历代码,触发漏洞;
-
随后连接到 C2(命令与控制)服务器,下载并运行恶意负载,如木马、勒索软件等。
该漏洞的利用虽需用户交互(打开压缩包),但由于 WinRAR 在全球广泛使用,且攻击手法极易伪装,危险性极高。
官方回应与修复进展
WinRAR 官方目前已发布 7.12 Beta 1 版本,修复了此漏洞,但正式版尚未更新。建议所有使用 WinRAR 的用户,特别是企业内部大量部署的系统,立即升级至该测试版以规避风险。
技术细节简要说明
-
漏洞编号:CVE-2025-6218
-
漏洞类型:目录遍历 + 远程代码执行(RCE)
-
影响版本:WinRAR 7.11 及之前版本
-
未受影响版本:WinRAR for Unix、UnRAR CLI、UnRAR library、RAR for Android 等
-
根本原因:WinRAR 在处理存档时未正确限制路径,攻击者可伪造跨目录路径,实现文件写入系统任意位置。
该漏洞可被其他攻击链利用,如与钓鱼邮件、诱导下载等结合,进一步扩大战果,构成完整的攻击流程。
对个人与企业用户的影响
-
个人用户:可能因打开来自网络的压缩包,导致恶意程序在后台静默运行,窃取敏感信息或植入恶意程序;
-
企业用户:攻击者可通过该漏洞切入企业内网,进而植入后门、部署勒索软件或窃取业务数据,造成严重经济和信息损失。
应对建议
-
立即升级:建议所有用户尽快更新至 WinRAR 7.12 Beta 1 或等待官方正式版修复后立即更新;
-
安全意识培训:企业应加强内部员工对恶意压缩文件的识别能力,避免随意打开不明文件;
-
限制权限:限制压缩软件对系统关键路径的写入权限;
-
网络防护:配置终端安全防护软件,防止恶意文件执行和 C2 通信行为。
