綜合避難所

WinRAR 爆重大漏洞，駭客可遠端執行惡意程式碼

知名壓縮軟體 WinRAR 近期被揭露存在一項嚴重安全漏洞，據趨勢科技 Zero Day Initiative 的通報，該漏洞已被編號為 CVE-2025-6218，屬於「目錄穿越」（directory traversal）類型。攻擊者可透過精心製作的惡意壓縮檔，誘使使用者解壓縮時讓檔案被寫入系統中非預期的位置，進而執行任意程式碼。

這項漏洞由獨立安全研究員「whs3-detonator」發現。雖然這類攻擊仍需使用者進行互動（如手動解壓縮），但透過操控壓縮檔中目錄路徑的方式，攻擊者可以讓 WinRAR 在解壓縮時錯誤地將檔案寫入系統受限制的目錄，進一步造成資訊洩漏、系統檔案被竄改，甚至可能導致整個系統無法使用。

據 CVSS（通用漏洞評分系統）的評估，此漏洞的嚴重性達到 7.8 分（滿分 10 分），屬於「高風險等級」，對機密性、完整性與可用性都構成重大威脅。

WinRAR 母公司 RARLAB 已在最新測試版中修補此漏洞，據官方說明，WinRAR 7.11 及更早版本、Windows 平台上的 RAR、UnRAR、UnRAR 原始碼與 UnRAR.dll 均受到影響；不過 Unix 平台版本的 RAR、UnRAR、UnRAR 函式庫與 Android 版則未受波及。

官方建議用戶應盡快手動更新至 WinRAR 7.12 Beta 1 測試版，以避免遭受 CVE-2025-6218 所造成的安全風險。