RARLAB ha publicado WinRAR 7.13 para solucionar CVE-2025-8088, una vulnerabilidad de path traversal que ya se está explotando en ataques reales. La vulnerabilidad permitiría ejecutar código al extraer archivos especialmente preparados, y está vinculada a campañas de phishing recientes.
WinRAR, uno de los compresores más utilizados en Windows, ha corregido una vulnerabilidad grave ya explotada en la naturaleza y rastreada como CVE-2025-8088. El fallo, descubierto por los investigadores de ESET Anton Cherepanov, Peter Košinár y Peter Strýček, es un traversal de rutas (CWE-35) que permite a un archivo malicioso manipular la ruta de extracción y escribir ficheros fuera del directorio elegido por el usuario, posibilitando la ejecución de código. La entrada de NVD atribuye a la vulnerabilidad una severidad CVSS4 de 8,4 (alta) y la documenta como “explotada en el mundo real”.
RARLAB ha publicado WinRAR 7.13 (31 de julio de 2025) indicando de forma explícita que “otra vulnerabilidad de directory traversal, distinta a la de WinRAR 7.12, ha sido corregida”. En sus notas de versión, el proveedor detalla que versiones anteriores de WinRAR (y los componentes RAR/UnRAR para Windows, incluida UnRAR.dll) “pueden ser engañadas para usar una ruta definida dentro de un archivo especialmente diseñado en lugar de la especificada por el usuario”. El problema afecta a Windows; la actualización 7.13 mitiga el vector.
La explotación ha sido reportada por varios medios y se ha observado en campañas de phishing que distribuyen RomCom (grupo vinculado a Rusia en distintos informes). En estos ataques, al abrir o extraer el RAR señuelo se consigue escribir ficheros en rutas sensibles, p. ej., la carpeta Startup, logrando que se ejecuten en el siguiente inicio de sesión.
Este 0-day llega poco después de CVE-2025-6218 (junio de 2025), otro directory traversal en WinRAR con impacto similar (escritura fuera del directorio y posible RCE) que también requería la interacción del usuario. El paralelismo entre ambos fallos subraya el atractivo de los gestores de archivos para los atacantes y la necesidad de actualizar con rapidez.
El grupo Paper Werewolf (GOFFEE) habría combinado este nuevo fallo con CVE-2025-6218 en ataques contra organizaciones rusas, y semanas antes un actor identificado como “zeroplayer” anunció en Exploit.in un supuesto 0-day de WinRAR por 80.000$; la firma Obrela documentó ese anuncio el 7/17/2025. Aunque la atribución sigue abierta, el mensaje es claro: hay explotación activa y los parches ya están disponibles.
Como nota relacionada, el gestor alternativo 7-Zip ha corregido CVE-2025-55188 (manejo inseguro de enlaces simbólicos durante la extracción) en la versión 25.01, que bajo circunstancias concretas permitiría escritura arbitraria de ficheros e incluso ejecución de código. Si su organización usa 7-Zip, conviene actualizar también.
Recomendaciones
Actualiza de inmediato a WinRAR 7.13 y bloquea versiones anteriores. Endurece el manejo de adjuntos: filtra o aísla archivos .rar/.zip externos y, si es imprescindible abrirlos, hazlo en una sandbox. Supervisa escrituras a rutas sensibles (p. ej., Startup, AppData, ProgramData) realizadas por WinRAR.exe/UnRAR.dll y refuerza la concienciación: estos ataques suelen requerir interacción del usuario. Si tu entorno usa 7-Zip, actualiza también a la 25.01.
Más Información
- WinRAR Zero-Day Under Active Exploitation – The Hacker News – https://thehackernews.com/2025/08/winrar-zero-day-under-active.html
- CVE-2025-8088 – NVD – https://nvd.nist.gov/vuln/detail/CVE-2025-8088
- WinRAR – What’s new (7.13) – https://www.rarlab.com/rarnew.html
- WinRAR zero-day flaw exploited by RomCom – BleepingComputer – https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/
- WinRAR 0-Day RCE exploit for sale (zeroplayer) – Obrela Advisory (17/07/2025) – https://www.obrela.com/advisory/winrar-0-day-remote-code-execution-rce-exploit-for-sale/
- CVE-2025-6218 – NVD – https://nvd.nist.gov/vuln/detail/CVE-2025-6218
- 7-Zip 25.01 – Notas de versión (mitigación CVE-2025-55188) – https://github.com/ip7z/7zip/releases/tag/25.01
- CVE-2025-55188 – NVD – https://nvd.nist.gov/vuln/detail/CVE-2025-55188
La entrada WinRAR corrige un 0-day explotado: actualiza a 7.13 cuanto antes se publicó primero en Una Al Día.
