У WinRAR усунули вразливість, пов’язану з обходом каталогу, яка отримала ідентифікатор CVE-2025-6218. За певних обставин цей баг давав змогу виконати шкідливе ПЗ після вилучення архіву.

Уразливість отримала оцінку 7,8 бала за шкалою CVSS і була виявлена дослідником під ніком whs3-detonator, який повідомив про неї через Zero Day Initiative на початку червня 2025 року.

Проблема зачіпає тільки Windows-версію WinRAR, починаючи з версії 7.11 і старше, а виправлення з’явилося у версії WinRAR 7.12 beta 1, яка вийшла цього тижня.

«Під час вилучення файлу в старих версіях WinRAR, RAR для Windows, UnRAR і UnRAR.dll, включно з вихідним кодом UnRAR, що портується, можна було використовувати шлях, заданий у спеціально підготовленому архіві, замість шляху, зазначеного користувачем», – пояснюють розробники.

Інакше кажучи, шкідливий архів може містити файли зі зміненим relative path, що змушує WinRAR витягувати їх у потенційно небезпечні місця, включно із системними каталогами та папками автозапуску.

Якщо вміст такого архіву є шкідливим, витягнуті з нього файли можуть запуститися автоматично, викликавши виконання небезпечного коду під час наступного входу користувача в Windows.

Хоча такі програми запускаються з user-level правами і не мають прав адміністратора або SYSTEM, вони однаково здатні викрасти конфіденційні дані, включно з cookie браузера і збереженими паролями, закріпитися в системі жертви або надати своїм операторам віддалений доступ.

Крім CVE-2025-6218, у WinRAR 7.12 beta 1 також виправили проблему HTML-ін’єкцій, що виникає під час генерації звітів. Про цей баг повідомив ІБ-дослідник Марчін Бобрик (Marcin Bobryk). Він пояснює, що імена архівних файлів, що містять < або >, могли бути впроваджені в HTML-звіт у вигляді необроблених HTML-тегів. У результаті це могло призвести до HTML- і JS-ін’єкцій, якщо звіти відкривалися в браузері.