Resumen 1. Una falla de alta severidad (CVE-2025-6218) en Winrar permite a los atacantes ejecutar código arbitrario explotando cómo el software maneja las rutas de archivos dentro de los archivos. 2. La vulnerabilidad permite a los atacantes usar archivos de archivo especialmente elaborados con secuencias transversales de directorio, lo que lleva a la ejecución de código remoto. 3. La explotación depende de la acción del usuario, como descargar o abrir un archivo malicioso o visitar una página web comprometida 4. Rarlab ha lanzado una actualización de seguridad; Los usuarios deben actualizar rápidamente a Winrar a la última versión para proteger sus sistemas.
Se ha identificado una severa vulnerabilidad de seguridad en el software WinRAR de Rarlab que permite a los atacantes remotos ejecutar código arbitrario a través de archivos de archivo maliciosos.
El defecto, designado como CVE-2025-6218, lleva una puntuación CVSS de 7.8 y afecta el manejo de las rutas de directorio dentro de los archivos de archivo por la utilidad de compresión de archivo ampliamente utilizada.
Fallas de Winrar RCE
La vulnerabilidad de recorrido del directorio, catalogada formalmente como ZDI-25-409, representa un riesgo de seguridad significativo para los usuarios de Winrar en todo el mundo.
Esta vulnerabilidad de ejecución de código remoto (RCE) permite a los atacantes ejecutar código malicioso en el contexto del usuario actual, aunque requiere que la interacción del usuario se explote con éxito.
La cadena vectorial CVSS de la vulnerabilidad AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H indica un alto impacto en la confidencialidad, la integridad y las métricas de disponibilidad.
El mecanismo de explotación se centra en las rutas de archivos diseñados dentro de los archivos de archivo que pueden hacer que el proceso de Winrar atraviese a directorios no deseados.
Este ataque de recorrido de ruta pasa por alto los límites de seguridad normales, lo que permite a los atacantes escribir archivos en ubicaciones fuera del directorio de extracción previsto.
Tales vulnerabilidades son particularmente peligrosas porque pueden conducir a un compromiso completo del sistema cuando se combinan con otras técnicas de ataque.
Análisis técnico revelado que la vulnerabilidad existe dentro de las rutinas de manejo de ruta de archivo de Winrar al procesar archivos de archivo.
El investigador de seguridad WHS3 Detonator, quien descubrió e informó la falla, identificó que los archivos de archivo especialmente elaborados que contienen rutas de directorio maliciosas pueden manipular el proceso de extracción.
El vector de ataque requiere que el usuario objetivo visite una página web maliciosa o abra un archivo de archivo malicioso, lo que lo hace susceptible a los ataques de ingeniería social.
La explotación técnica aprovecha las secuencias transversales del directorio incrustadas dentro de la estructura del archivo de archivo.
Estas secuencias pueden incluir indicadores de ruta relativos como los patrones “../” que permiten al atacante navegar fuera del directorio de extracción previsto.
Una vez exitoso, la vulnerabilidad permite la ejecución del código arbitrario con los privilegios del usuario que ejecuta WinRAR.
Factores de riesgo Los productos para obtener los productos de los productos de la ejecución del código de la ejecución del código (RCE) de la ejecución de la ejecución de la ejecución del código (RCE) de la ejecución de la ejecución del código (RCE) (RCE) de la interacción requerida por requisitos de uso (abriendo un archivo de archivo malicioso o visitando un puntaje WebPageCVSS 3.1 comprometido 7.8 (alto)
Mitigación
Rarlab tiene rápidamente dirigido Este problema de seguridad crítico al lanzar una versión actualizada de Winrar.
Se recomienda a los usuarios actualizar a Winrar 7.11 para experimentar velocidades más rápidas, mejor usabilidad y nuevas opciones de personalización.
El proveedor ha publicado información detallada sobre la actualización de seguridad, enfatizando la importancia de aplicar este parche para evitar la explotación potencial.
Las organizaciones deben priorizar esta actualización debido a la alta calificación de gravedad y al potencial de ataques de ejecución de código remoto dirigidos a sus sistemas.
¿Eres de los equipos SOC/DFIR! – Interactuar con malware en el sandbox y encontrar IOC relacionados. – Solicitar prueba gratuita de 14 días
