A path traversal vulnerability affecting the Windows version of WinRAR allows the attackers to execute arbitrary code by crafting malicious archive files. This vulnerability was exploited in the wild and was discovered by Anton Cherepanov, Peter Košinár, and Peter Strýček from ESET.
oryginał ENCVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDtsearch
APPDtsearch< 2023.01Microsoft Windows
OSMicrosoftwszystkie wersjeRarlab Winrar
APPRarlab< 7.13
CISA KEV — szczegółyi
- Dostawcai
- RARLAB
- Produkti
- WinRAR
- Data dodania do KEVi
- 12 sierpnia 2025
- Termin remediation (USA)i
- 2 września 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z odpowiednimi wskazówkami BOD 22-01 dla usług cloud, lub przerwij używanie produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
RARLAB WinRAR zawiera lukę podatności path traversal wpływającą na wersję Windows WinRAR. Ta podatność mogłaby pozwolić atakującemu na wykonanie arbitralnego kodu poprzez stworzenie złośliwych plików archiwów.
▸ Pokaż oryginał (EN)
RARLAB WinRAR contains a path traversal vulnerability affecting the Windows version of WinRAR. This vulnerability could allow an attacker to execute arbitrary code by crafting malicious archive files.
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows
PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit