یک آسیبپذیری مهم امنیتی در نرمافزار محبوب فشردهسازی فایل WinRAR توسط برنامهی Zero Day Initiative شرکت Trend Micro گزارش شد. این آسیبپذیری با شناسهی CVE-2025-6218 به مهاجمان اجازه میدهد از طریق ارسال فایلهای مخرب، کد دلخواه خود را روی سیستم قربانی اجرا کنند.
به گزارش زومیت، آسیبپذیری از نوع Directory Traversal است و بهواسطهی نحوهی مدیریت مسیرهای پوشه توسط WinRAR در هنگام استخراج فایلها ایجاد میشود. هکر میتواند ساختار مسیرها را بهگونهای تغییر دهد که فایلها خارج از پوشهی تعیینشده ذخیره شوند و بدین ترتیب به بخشهای حساس سیستم دسترسی پیدا کند.
با اینکه اجرای موفقیتآمیز حمله نیازمند تعامل کاربر است؛ اما در صورت فریب کاربر برای استخراج فایل، امکان اجرای کد مخرب، دسترسی به اطلاعات حساس و حتی از کار انداختن کامل سیستم فراهم میشود. این آسیبپذیری نمرهی ۷٫۸ از ۱۰ را در سیستم استاندارد CVSS دریافت کرده که نشاندهندهی ریسک بالا است.
شرکت RARLAB که توسعهدهندهی WinRAR است، آسیبپذیری را در نسخهی 7.12 Beta 1 برطرف کرد. طبق یادداشتهای فنی، نسخههای WinRAR 7.11 و قبل از آن، همچنین نسخههای ویندوزی RAR و UnRAR، کد منبع قابلحمل UnRAR و فایل UnRAR.dll آسیبپذیر هستند. اما نسخههای یونیکس و نسخهی اندرویدی RAR تحت تأثیر قرار نگرفتهاند.
با توجه به اینکه WinRAR بیش از ۵۰۰ میلیون کاربر در سراسر جهان دارد، چنین آسیبپذیریهایی اغلب مورد توجه هکرها قرار میگیرند.
به کاربران WinRAR توصیه میشود بهصورت دستی نرمافزار را به جدیدترین نسخهی بتا بهروزرسانی کنند تا از خطر آسیبپذیری در امان باشند.
