Los mantenedores de la utilidad de archivo de archivos Winrar han publicado una modernización para afrontar una vulnerabilidad de día cero explotada activamente.
Seguido como CVE-2025-8088 (puntaje CVSS: 8.8), el problema se ha descrito como un caso de itinerario por ruta que afecta la lectura de Windows de la útil que podría explotarse para obtener la ejecución del código improcedente mediante la creación de archivos de archivo maliciosos.
“Al extraer un archivo, las versiones anteriores de Winrar, las versiones de Windows de RAR, UNRAR, el código fuente de UNRAR portátil y unrar.dll se pueden engañar para usar una ruta, definidas en un archivo especialmente fabricado, en zona de una ruta especificada”, dijo Winrar en un asesoramiento.
Anton Cherepanov, Peter Kosinar y Peter Strycek de ESET han sido acreditados por descubrir e informar el defecto de seguridad, que se ha abordado en Winrar lectura 7.13 osado el 31 de julio de 2025.
Actualmente no se sabe cómo se está armando la vulnerabilidad en ataques del mundo verdadero y quién. En 2023, otra vulnerabilidad que afecta a Winrar (CVE-2023-38831, puntaje CVSS: 7.8) quedó bajo una gran explotación, incluso como un día cero, por múltiples actores de amenazas de China y Rusia.
El proveedor de ciberseguridad ruso Bi.zone, en un documentación publicado la semana pasada, dijo que hay indicios de que el montón de piratería rastreado como Werewolf (seudónimo Goffee) puede activo laborioso CVE-2025-8088 de CVE-2025-6218, un error de directorio CVE-2025-8088 yuxtapuesto con CVE-2025-6218, un error traversal de directorio en la lectura de Windows de Winrar de Winrar que se parchó en junio de 2025.
Es importante tener en cuenta que ayer de estos ataques, un actor de amenaza identificado como “Zeroplayer” fue trillado publicidad el 7 de julio de 2025, un supuesto exploit de día cero de Winrar en la explotación del foro web confuso en ruso. Se sospecha que los actores de hombre lobo de papel pueden haberlo adquirido y lo han usado para sus ataques.
“En versiones anteriores de Winrar, así como RAR, Unrar, Unrar.dll, y el código fuente portátil de UNRAR para Windows, se podría usar un archivo especialmente fabricado que contiene código improcedente para manipular rutas de archivos durante la extirpación”, dijo Winrar en una alerta para CVE-2025-6218 en el momento.
“Se requiere la interacción del agraciado para explotar esta vulnerabilidad, lo que podría hacer que los archivos se escriban fuera del directorio previsto. Este defecto podría explotarse para colocar archivos en ubicaciones confidenciales, como la carpeta de inicio de Windows, lo que puede conducir a la ejecución de código no intencional en el futuro inicio de sesión del sistema”.
Los ataques, según la zona, se dirigieron a organizaciones rusas en julio de 2025 a través de correos electrónicos de phishing con archivos atrapados explosivos que, cuando se lanzan, se activaron CVE-2025-6218 y probablemente CVE-2025-8088 para escribir archivos fuera del directorio de destino y ganar la ejecución de código, mientras se presenta un documento Decoy a la victimización como una distracción.
“La vulnerabilidad está relacionada con el hecho de que al crear un archivo RAR, puede incluir un archivo con flujos de datos alternativos, cuyos nombres contienen rutas relativas”, dijo Bi.Zone. “Estas transmisiones pueden contener carga útil arbitraria. Al desempacar dicho archivo o desplegar un archivo adjunto directamente desde el archivo, los datos de las transmisiones alternativas se escriben en directorios arbitrarios en el disco, que es un ataque de itinerario de directorio”.
“La vulnerabilidad afecta las versiones de Winrar hasta 7.12. A partir de la lectura 7.13, esta vulnerabilidad ya no se reproduce”.
Una de las cargas efectos maliciosas en cuestión es un cargador .NET diseñado para mandar información del sistema a un servidor forastero y tomar malware adicional, incluido un ensamblaje de .NET oculto.
“Paper Werewolf usa el cargador C# para obtener el nombre de la computadora de la víctima y enviarlo al enlace generado al servidor para obtener la carga útil”, agregó la compañía. “Paper Werewolf usa enchufes en el shell inverso para comunicarse con el servidor de control”.
Error de escritura de escritura arbitraria de 7 y enchufes de ZIP
La divulgación se produce como parches enviados por 7 ZIP para una descompostura de seguridad (CVE-2025-55188, puntaje CVSS: 2.7) que podrían ser abusados de la escritura de archivos arbitrarios correcto a la forma en que la útil maneja los enlaces simbólicos durante la extirpación, lo que puede resultar en la ejecución del código. El problema se ha abordado en la lectura 25.01.
En un posible tablado de ataque, un actor de amenaza podría rendir la descompostura para ganar el golpe o la ejecución del código no calificado al manipular archivos confidenciales, como sobrescribir las claves SSH de un agraciado o el archivo .BASHRC.
El ataque se dirige principalmente a los sistemas UNIX, pero incluso se puede adaptar para ventanas con requisitos previos adicionales. “En Windows, el proceso de extirpación de 7 ZIP debe tener la capacidad de crear enlaces simbólicos (por ejemplo, extraer con privilegios de administrador, Windows está en modo de desarrollador, etc.),” Investigador de seguridad “Lunbun”.
