WinRAR 在 7 月 30 日发布的 v7.13 版中修复了CVE-2025-8088漏洞

CVE – 2025 – 8088 是一个路径遍历漏洞。简单来说,攻击者可以通过精心构造特定的 RAR 压缩包,利用 WinRAR 在处理文件解压路径时的缺陷,绕过用户指定的解压目录,将恶意文件释放到系统的任意位置,包括一些关键的系统目录。

一旦恶意文件解压放在 Windows 启动目录中,用户重启系统 (或者注销后再登录) 都可以执行恶意程序,而用户却浑然不知。

目前,已有确凿证据表明,黑客组织 RomCom正在大规模利用 CVE – 2025 – 8088 漏洞发动攻击。他们主要针对欧洲和加拿大的金融、制造、国防和物流等重要行业的企业。攻击手段通常是通过精心设计的钓鱼邮件,伪装成求职简历等看起来正常的文件附件,诱使用户解压。

一旦用户中招解压了这些恶意压缩包,RomCom 就会利用漏洞在受害者电脑中植入多种恶意软件,如 Mythic Agent、SnipBot 及 MeltingClaw 等,从而实现对受害者电脑的远程控制,窃取敏感信息,甚至进行更具破坏性的操作。

受影响winrar版本​

  • 已修复版本​​:​​WinRAR v7.13 及以上​​(官方已于 2025 年 7 月 30 日发布)。
  • 受影响的旧版本​​:v7.00 – v7.12 所有版本。

软件介绍

WinRAR 中文版作为安装最多的压缩和解压缩软件之一,WinRAR 迎来了 正式版更新,更新提供了对 Windows 11 右键菜单的支持。WinRAR完美支持RAR和ZIP格式,还支持ARJ、CAB、LZH、ACE、TAR、GZ、UUE、BZ2、JAR、ISO和7z文件的解压。支持加密;支持多卷压缩功能;创建自释放文件,制作简单的安装程序等。它还提供了强大的压缩文件修复功能,可以最大限度地恢复损坏的rar和zip压缩文件中的数据。

本版特性

  • 以英文版做为母版 + 周明波版官方简体中文升级, 并做了部分修改
  • 根据官方提供的英文帮助文件资源全新汉化了帮助(WinRAR.chm // 7.00)
  • 无视文件锁定 (可编辑锁定的 RAR 文件, 方便修改注释、添加或删除文件!)
  • 汉化命令行版本 RAR.EXE 和 UnRAR.exe
  • 修改资源管理器右键查看 RAR 注释字体为宋体 9 号
  • 7z 模块升级为最新版

使用说明

winrar 7.x版本立即升级至7.13版本

WinRAR 开发方在得知该漏洞后,已于 2025 年 7 月 30 日紧急发布了 7.13 版本,对 CVE – 2025 – 8088 漏洞进行了修复。然而,WinRAR 软件本身缺乏自动更新功能,这就需要广大用户手动进行更新操作。

  • WinRAR 6.20 开始已不再支持Win7,如果是windows 7 操作系统请使用WinRAR 6.10的版本。
  • 安装过其他版本WinRar的需要手动添加许可证。
  • 许可证安装方法:将许可证文件rarreg.key放到WinRAR安装目录,通常安装目录是 C:\Program Files\WinRAR

文章出处:IT技术之家