WinRARは、CVE-2025-6218として追跡されているディレクトリトラバーサルの脆弱性に対処しました。この脆弱性は、特定の状況下で悪意のあるアーカイブを抽出した後にマルウェアが実行されることを可能にします。
CVE-2025-6218として追跡され、CVSSスコア7.8(高い深刻度)が割り当てられたこの欠陥は、セキュリティ研究者whs3-detonatorによって発見され、2025年6月5日にZero Day Initiativeを通じて報告されました。
この脆弱性は、Windows版のWinRARのバージョン7.11およびそれ以前にのみ影響し、修正は昨日公開されたWinRARバージョン7.12ベータ1でリリースされました。
“ファイルを抽出する際、以前のバージョンのWinRAR、Windows版のRAR、UnRAR、ポータブルUnRARソースコード、UnRAR.dllは、ユーザーが指定したパスの代わりに、特別に作成されたアーカイブで定義されたパスを使用するように騙される可能性があります。”と変更履歴ノートを読む。
悪意のあるアーカイブには、WinRARを騙してシステムディレクトリや自動実行またはスタートアップフォルダのような重要な場所に「静かに」抽出させる相対パスを持つファイルが含まれている可能性があります。
アーカイブの内容が悪意のあるものである場合、これらのファイルは自動的に起動し、ユーザーが次回Windowsにログインしたときに危険なコード実行を引き起こす可能性があります。
プログラムは管理者またはSYSTEM権限ではなくユーザーレベルのアクセスで実行されますが、それでもブラウザのクッキーや保存されたパスワードなどの機密データを盗む、永続化メカニズムをインストールする、またはさらなる横移動のためのリモートアクセスを提供することができます。
CVE-2025-6218のリスクは、悪意のあるアーカイブを開く、または特別に作成されたページを訪れるなど、ユーザーの操作が必要であるという事実によって制限されています。
しかし、ユーザーが古いバージョンのWinRARを使用することは非常に一般的であり、悪意のあるアーカイブを配布する方法が非常に多いため、リスクは非常に高いままです。
CVE-2025-6218に加えて、WinRAR 7.12ベータ1は、Marcin Bobrykによって報告されたレポート生成の問題におけるHTMLインジェクションにも対処しています。アーカイブされたファイル名に<または>が含まれている場合、HTMLレポートに生のHTMLタグとして注入される可能性があります。これにより、レポートがウェブブラウザで開かれた場合にHTML/JSインジェクションを可能にする可能性があります。
最新のWinRARリリースで修正された他の2つの小さな問題には、リカバリボリュームの不完全なテストとUnixレコードのタイムスタンプ精度の損失が含まれます。
CVE-2025-6218はUnixバージョン、Android、およびポータブルUnRARソースコードには影響しませんが、プラットフォームに関係なく、すべてのWinRARユーザーは直ちに最新バージョンにアップグレードすることをお勧めします。
現在、CVE-2025-6218に関する報告はありませんが、WinRARが世界中で広く展開されていることと、過去のハッカーがソフトウェアを標的にした歴史を考慮すると、ユーザーは直ちに最新バージョンに更新するべきです。
ITチームが手動のパッチ管理をやめる理由
パッチ適用はかつて、複雑なスクリプト、長時間の作業、終わりのない緊急対応を意味していました。今は違います。
この新しいガイドでは、Tinesが現代のIT組織が自動化でどのようにレベルアップしているかを解説します。パッチを迅速に適用し、オーバーヘッドを削減し、戦略的な作業に集中することができます。複雑なスクリプトは不要です。