大工网安告[2025028]

一、 情况分析

WinRAR是一款广泛使用的文件压缩和解压缩工具，它支持多种压缩格式，包括RAR和ZIP。

近日，WinRAR目录穿越漏洞(CVE-2025-6218)POC已公开，该漏洞存在于WinRAR处理压缩文件中文件路径的过程中。攻击者可以利用精心构造的文件路径，使WinRAR进程遍历到任意目录，从而造成敏感信息泄露等危害。此漏洞POC已公开，鉴于此漏洞影响范围较大，建议大家尽快做好自查及防护。

威胁类型：信息泄漏。

技术类型：路径名的限制不恰当。

利用条件：需要用户交互。

危害描述：攻击者可以通过诱导用户访问恶意页面或打开恶意文件来利用此漏洞，从而造成信息泄露等危害。

目前，已成功复现WinRAR目录穿越漏洞(CVE-2025-6218)，截图如下：

二、 影响版本

winrar < 7.12

三、 处置建议

修复解决方案（含漏洞补丁）：

用户应尽快升级到WinRAR 7.12 或更高版本，以修复该漏洞。

下载链接：https://www.rarlab.com/download.htm

修复缓解措施：

避免打开不可信来源的压缩文件。