W popularny program do archiwizacji plików WinRAR wykryto poważną lukę bezpieczeństwa oznaczoną jako CVE-2025-6218. O odkryciu poinformowała firma Trend Micro w ramach inicjatywy Zero Day Initiative. Luka umożliwia cyberprzestępcom zdalne wykonanie dowolnego kodu na komputerze ofiary przy pomocy odpowiednio spreparowanego archiwum.
Wykryta przez niezależnego badacza o pseudonimie whs3-detonator, podatność dotyczy sposobu, w jaki WinRAR obsługuje ścieżki katalogów podczas rozpakowywania plików. Poprzez technikę zwaną directory traversal (czyli obejście ścieżki katalogu), atakujący może nakłonić program do wypakowania plików poza wskazany folder, np. do krytycznych katalogów systemowych.
Choć atak wymaga interakcji użytkownika (np. ręcznego rozpakowania archiwum), to jego skutki mogą być poważne: od przejęcia kontroli nad komputerem po trwałe uszkodzenie systemu.
Według systemu oceniania CVSS (Common Vulnerability Scoring System), luka otrzymała ocenę 7.8 na 10, co klasyfikuje ją jako wysokiego ryzyka.
Wysokie ryzyko – CVSS 7.8/10
Według systemu oceniania CVSS (Common Vulnerability Scoring System), luka otrzymała ocenę 7.8 na 10, co klasyfikuje ją jako wysokiego ryzyka. Oznacza to, że luka może zagrażać poufności danych, integralności systemu oraz dostępności zasobów, czyli wszystkim trzem filarom bezpieczeństwa informatycznego.
WinRAR 7.12 Beta 1 z łatką – aktualizacja obowiązkowa
Firma RARLAB, twórca WinRAR-a, zareagowała szybko i udostępniła łatkę w wersji 7.12 Beta 1. Zagrożone są wszystkie wersje WinRAR 7.11 i starsze i windowsowe wersje programów RAR, UnRAR oraz UnRAR.dll. Natomiast systemy Unix, Android oraz przenośne wersje UnRAR nie są podatne na CVE-2025-6218. Użytkownicy powinni jak najszybciej ręcznie zaktualizować oprogramowanie, ponieważ wersja 7.12 Beta 1 nie zawsze jest dostępna w formie automatycznej aktualizacji.
Nie pierwszy raz
To nie pierwsza wpadka bezpieczeństwa WinRAR-a. W kwietniu 2025 roku odkryto inną lukę, która umożliwiała uruchomienie programów bez wyświetlania komunikatu Mark of the Web, czyli ostrzeżenia systemu Windows o uruchamianiu nieznanych plików pobranych z internetu. Również ta luka została naprawiona w wersji 7.11.
Przypomnijmy, że WinRAR jest używany przez ponad 500 milionów użytkowników na całym świecie, co czyni go atrakcyjnym celem dla cyberprzestępców i z pozoru niewinna operacja „rozpakuj pliki” może okazać się tykającą bombą.
Pokaż / Dodaj komentarze do: Zaktualizuj WinRAR natychmiast. Rozpakowanie pliku może zniszczyć system