WinRAR ha informado de la detección de una vulnerabilidad de severidad alta, que afecta a la versión de Windows de WinRAR que permite a un atacante crear archivos comprimidos maliciosos que, al extraerse, escriben ficheros en rutas controladas por el atacante y con ello logran ejecución de código arbitrario. Dicha vulnerabilidad ha sido identificada como CVE-2025-8088.
Investigadores de ESET han detectado la vulnerabilidad CVE-2025-8088 que afecta a versiones de WinRAR anteriores a la 7.13. Este fallo ocurre cuando el programa extrae archivos comprimidos sin validar bien las rutas internas.
Un atacante puede incluir rutas especiales como .. dentro del archivo para que, al descomprimirlo, se escriban ficheros fuera de la carpeta elegida por el usuario, incluso en zonas críticas como la carpeta de inicio de Windows.
Esto permite colocar un programa malicioso que se ejecute automáticamente.
Si un usuario extrae un archivo malicioso, el atacante puede instalar malware en su equipo y ejecutarlo sin que el usuario lo note.
Esto compromete la confidencialidad, integridad y disponibilidad del sistema, y puede llevar al robo de datos, instalación de troyanos o control remoto del equipo.
Recursos Afectados
- Versiones de WinRAR anteriores a la 7.13
Recomendaciones
Para mitigar la vulnerabilidad detectada, se recomienda actualizar WinRAR a la versión 7.13 en todos los equipos Windows cuanto antes.
Referencias