Summary
1. A high-severity flaw (CVE-2025-6218) in WinRAR allows attackers to execute arbitrary code by exploiting how the software handles file paths within archives.
2. The vulnerability enables attackers to use specially crafted archive files with directory traversal sequences, leading to remote code execution.
3. Exploitation depends on user action, such as downloading or opening a malicious archive or visiting a compromised webpage
4. RARLAB has released a security update; users should promptly upgrade WinRAR to the latest version to protect their systems.Rarlab’ın Winrar yazılımında, uzak saldırganların kötü amaçlı arşiv dosyaları aracılığıyla keyfi kod yürütmesini sağlayan ciddi bir güvenlik açığı tespit edilmiştir.
CVE-2025-6218 olarak adlandırılan kusur, 7.8 CVSS puanı taşır ve yaygın olarak kullanılan dosya sıkıştırma yardımcı programı tarafından arşiv dosyalarındaki dizin yollarının işlenmesini etkiler.
Winrar RCE kusuru
Resmi olarak ZDI-25-409 olarak kataloglanan dizin geçiş güvenlik açığı, dünya çapında Winrar kullanıcıları için önemli bir güvenlik riskini temsil eder.
.png
)
Bu Uzaktan Kod Yürütme (RCE) güvenlik açığı, saldırganların geçerli kullanıcı bağlamında kötü amaçlı kod yürütmesine izin verir, ancak kullanıcı etkileşiminin başarılı bir şekilde kullanılmasını gerektirir.
Güvenlik Açığı’nın CVSS Vektör Dizesi AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H, gizlilik, bütünlük ve kullanılabilirlik metrikleri arasında yüksek etkiyi gösterir.
Sömürü mekanizması, Winrar işleminin istenmeyen dizinlere geçmesine neden olabilecek arşiv dosyalarında hazırlanmış dosya yollarına odaklanmaktadır.
Bu yol geçiş saldırısı, normal güvenlik sınırlarını atlayarak saldırganların amaçlanan çıkarma dizini dışındaki konumlara dosya yazmasını sağlar.
Bu tür güvenlik açıkları özellikle tehlikelidir, çünkü diğer saldırı teknikleriyle birleştirildiğinde sistem uzlaşmasına yol açabilirler.
Teknik analiz, arşiv dosyalarını işlerken Winrar’ın dosya yolu işleme rutinlerinde güvenlik açığının var olduğunu ortaya koymaktadır.
Güvenlik Araştırmacısı Kusur’u keşfeden ve bildiren WHS3-Detonator, kötü amaçlı dizin yolları içeren özel olarak hazırlanmış arşiv dosyalarının ekstraksiyon işlemini manipüle edebileceğini belirledi.
Saldırı vektörü, hedef kullanıcının kötü niyetli bir web sayfasını ziyaret etmesini veya kötü amaçlı bir arşiv dosyasını açmasını ve sosyal mühendislik saldırılarına duyarlı olmasını gerektirir.
Teknik sömürü, arşiv dosya yapısına gömülü dizin geçiş dizilerini kullanır.
Bu diziler, saldırganın amaçlanan ekstraksiyon dizininin dışında gezinmesine izin veren “../” kalıpları gibi göreceli yol göstergelerini içerebilir.
Başarılı olduktan sonra, güvenlik açığı, Winrar’ı çalıştıran kullanıcının ayrıcalıklarıyla keyfi kod yürütülmesini sağlar.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Rarlab Winrar (Patch’ten önceki tüm sürümler 19 Haziran 2025’te yayınlandı) |
| Darbe | Uzak Kod Yürütme (RCE) |
| Önkoşuldan istismar | Kullanıcı etkileşimi gerekli (kötü niyetli bir arşiv dosyası açma veya tehlikeye atılan bir web sayfasını ziyaret etme |
| CVSS 3.1 puanı | 7.8 (Yüksek) |
Azaltma
Rarlab, Winrar’ın güncellenmiş bir sürümünü yayınlayarak bu kritik güvenlik sorununu derhal ele aldı.
Kullanıcıların daha hızlı hızlar, gelişmiş kullanılabilirlik ve yeni özelleştirme seçenekleri yaşamak için Winrar 7.11’e güncellemeleri önerilir.
Satıcı, güvenlik güncellemesi hakkında ayrıntılı bilgi yayınladı ve potansiyel sömürü önlemek için bu yamayı uygulamanın önemini vurguladı.
Kuruluşlar, yüksek şiddet derecesi ve sistemlerini hedefleyen uzaktan kod yürütme saldırıları potansiyeli nedeniyle bu güncellemeye öncelik vermelidir.
Are you from SOC/DFIR Teams! - Interact with malware in the sandbox and find related IOCs. - Request 14-day free trial