核心内容摘要
穿越书海的浪漫,心动不止,情深不减——《图书馆的女朋友第二季》邀您重返文学殿堂
CVE-
是 Windows 版 WinRAR 的高风险路径穿越漏洞CWE-35CVSS 评分
4影响
12 及以下版本被 APT 与网络犯罪组织作为零日漏洞在野外利用核心是通过 NTFS 交替数据流ADS 路径穿越写入恶意文件到系统敏感目录如启动文件夹实现代码执行与持久化NVD。
项目详情漏洞类型路径穿越目录遍历 代码执行CVSS 评分
4高危影响版本WinRAR ≤
12Windows、UnRAR.dll 及便携版 UnRAR 源码修复版本WinRAR
7.
发布发现与披露ESET
野外利用始于
利用主体RomComUNC
Paper Werewolf 等 APT 与勒索软件团伙漏洞成因解压时未正确过滤路径穿越字符如../且对 NTFS 交替数据流ADS处理存在缺陷导致恶意文件可被写入任意目录。
攻击流程构造恶意 RAR将恶意脚本 / 快捷方式.bat/.lnk/.hta 等作为 ADS 附加到诱饵文件如 PDF / 文档并嵌入../ 路径穿越字符指向启动目录等敏感位置。
诱导解压通过钓鱼邮件分发用户打开诱饵文件时WinRAR 在后台静默提取 ADS 中的恶意文件到目标目录。
自动执行恶意文件随系统启动 / 用户登录自动运行植入后门或勒索软件。
立即更新升级至 WinRAR
13覆盖桌面端、UnRAR.dll 及便携版 UnRAR 源码。
安全解压不直接双击压缩包内文件解压前用安全软件扫描优先解压到非系统盘的隔离目录禁用 NTFS ADS命令fsutil behavior set disable8dot3 1。
权限控制限制普通用户写入系统目录如 Startup、System32的权限降低攻击影响面。
威胁狩猎监控启动目录、用户临时目录的异常文件尤其是 ADS排查
后收到的可疑 RAR / 邮件附件。
利用门槛低、隐蔽性强ADS 可隐藏恶意数据传统安全工具易漏检无需用户执行恶意文件双击诱饵即可触发。
与 CVE-2025-
6
11 漏洞同源均为路径穿越类8088 是
12 的后续漏洞修复需覆盖全版本链。
合规要求CISA 已将其列入已知被利用漏洞目录要求
前完成修复CISA。
检查 WinRAR 版本WinRAR → 帮助 → 关于 WinRAR低于
13 需升级。
扫描敏感目录C:\Users 用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup、C:\Windows\System32 等删除未知.bat/.lnk/.hta。
审计 ADS用 dir /r 查看文件流删除异常 ADS命令del 文件名流名。