漏洞概况

WinRAR是一款流行的Windows平台压缩和归档工具。

近日,微步情报局获取到WinRAR修复了一处目录穿越漏洞(CVE-2025-8088)。根据微步漏洞情报显示,该漏洞已经被APT组织积极利用,在持久化目录下安装RomCom恶意软件 (完整漏洞利用情报请查阅https://x.threatbook.com/v5/vul/XVE-2025-29899)。

微步情报局已成功复现该漏洞。 经分析,该漏洞为攻击者通过精心设计的恶意压缩文件造成目录穿越,攻击者通过社工等手段诱导受害者解压该恶意文件,恶意文件会解压到用户指定目录之外的位置(例如Windows启动文件夹),当下次用户登录时,该恶意文件将自动执行,最终允许攻击者实现远程代码执行。

该漏洞需要受害者配合,但影响范围较大。由于 WinRAR 不包含自动更新功能,建议受影响的用户尽快下载并安装最新版本进行修复。

漏洞处置优先级(VPT)

漏洞影响范围

漏洞复现

修复方案

官方修复方案:

官方已发布新版本修复漏洞,请访问链接下载安全版本:

https://www.win-rar.com/fileadmin/winrar-versions/winrar/winrar-x64-713sc.exe

临时缓解措施:

  • 请勿打开来源不受信任的压缩文件

  • 使用其他压缩工具代替WinRAR

  • 使用安全设备进行防护防止恶意文件落地

微步产品侧支持

  • 微步终端安全管理平台OneSEC已支持相关检测,规则名称为:利用WinRAR实现代码执行

  • 微步在线沙箱分析平台OneSandbox和云沙箱S的OneStatic引擎已支持相关检测,名称为Exploit/CVE-2025-8088.a[WinRAR,PT]。