一、漏洞概要

漏洞名称	WinRAR目录遍历漏洞(CVE-2025-8088)
发布时间	2025年8月11日
组件名称	WinRAR
影响范围	WinRAR<7.13
漏洞类型	目录遍历
利用条件	1、用户认证：无需用户认证 2、前置条件：默认配置 3、触发方式：本地
综合评价	<综合评定利用难度>：容易，无需授权即可造成代码执行。 <综合评定威胁等级>：高危，可获取服务器权限。
官方解决方案	已发布

二、漏洞分析

2.1组件介绍

WinRAR是一个强大的压缩文件管理工具。它能备份你的数据，减少你的E-mail附件的大小，解压缩从Internet上下载的RAR、ZIP和其他格式的压缩文件，并能创建RAR和ZIP格式的压缩文件。在购买之前，你可以下载试用版本。

2.2漏洞描述

2025年8月11日，深瞳漏洞实验室监测到一则WinRAR组件存在目录遍历漏洞的信息，漏洞编号：CVE-2025-8088，漏洞威胁等级：高危。

WinRAR存在目录遍历漏洞，在解压文件时，存在漏洞的WinRAR版本（包括Windows版RAR、UnRAR、便携式UnRAR源代码及UnRAR.dll）会错误采用特制压缩包内嵌的文件路径，而非用户指定的目标路径。攻击者可借此漏洞，制作恶意存档文件，操控文件解压路径，绕过用户指定目录，将恶意文件写入系统关键位置。一旦恶意文件被放置在这些关键位置，用户下次登录系统时，恶意软件便会自动运行，进而实现远程代码执行。注：该漏洞已发现在野利用

三、影响范围

目前受影响的WinRAR版本：

WinRAR<7.13

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将WinRAR更新到最新版本。

返回首页关闭页面