聲明：該文章來自（藍點網）版權由原作者所有，K2OS渲染引擎提供網頁加速服務。

昨天我們提到知名壓縮管理器 WinRAR 出現(xiàn)高危安全漏洞，攻擊者借助這枚漏洞可以執(zhí)行任意代碼，因此對使用 WinRAR 的用戶來說存在較大的安全風險。

對企業(yè)而言這種攻擊風險更大，攻擊者只需要使用特制的壓縮文件并通過網站或電子郵件等方式誘導企業(yè)員工打開即可，這樣執(zhí)行代碼時還可以連接攻擊者控制的服務器并下載更多惡意負載。

這個漏洞的編號為 CVE-2025-6218，安全研究人員發(fā)現(xiàn)漏洞后將其私下提交給網絡安全公司趨勢科技，趨勢科技確認漏洞后將其通報給 WinRAR 進行處理。

現(xiàn)在 WinRAR 已經發(fā)布新版本徹底修復這個安全漏洞，用戶需要立即升級到 WinRAR 7.12 版，該版本不受漏洞影響可以放心使用，當然即便如此也不應該輕易打開來歷不明的任何文件，無論是可執(zhí)行文件還是壓縮文件。

RARLAB 暫時還未推出 WinRAR v7.12 的簡體中文版，但烈火漢化已經提供最新的漢化版，使用簡體中文的用戶可以下載該版本：https://dl.lancdn.com/landian/soft/winrar/liehuo/

使用英文版的用戶可以直接通過 RARLAB 官方網站下載最新版本：https://www.rarlab.com/download.htm

以下是漏洞說明：

CVE-2025-6218 被歸類為遠程代碼執(zhí)行漏洞 (RCE)，允許攻擊者在當前用戶的上下文操作中執(zhí)行惡意代碼，盡管該漏洞需要用戶交互才能成功利用，但整體危害依然非常高。

利用機制以存檔文件中構建的文件路徑為中心，這可能導致 WinRAR 進程遍歷到意外的目錄，這種路徑遍歷攻擊繞過正常的安全便捷，使攻擊者能夠將文件寫入到預期提取目錄之外的位置。

此類漏洞危害程度非常高，因為借助漏洞可以與其他攻擊技術結合起來導致整個系統(tǒng)受損，技術分析表明，在處理存檔文件時，WinRAR 的文件路徑處理例程中存在該漏洞。

發(fā)現(xiàn)并報告該漏洞的是安全研究人員 whs3-detonator，研究人員私下向趨勢科技報告了該漏洞，趨勢科技確認后將漏洞通報給 WinRAR 對漏洞進行修復。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/