2025年6月、圧縮ソフト「WinRAR」において、重大なディレクトリトラバーサル脆弱性(CVE-2025-6218)が発見されました。この脆弱性は、細工されたアーカイブファイルを開くだけで、攻撃者が任意のコードを実行できる可能性があるというものです。CVSSスコアは7.8と高く、
WinRARには自動アップデート機能がありませんので、企業利用者は能動的にアップデートする必要があります。
脆弱性の概要
CVE-2025-6218は、WinRARがアーカイブファイル内のファイルパスを処理する際に、適切なサニタイズ処理を行っていない点に起因します。攻撃者は、../といったディレクトリトラバーサルを含むパスを仕込んだアーカイブを用意し、ユーザーがそれを開くと、本来意図しないディレクトリ(例:スタートアップフォルダやシステムディレクトリ)にファイルが展開されます。
その結果、被害者のシステム再起動時などに悪意あるコードが実行される可能性があります
対応状況と対策
RARLABはこの脆弱性の報告(ZDI-CAN-27198)を2025年6月5日に受領し、同年6月19日に修正を含むアドバイザリを公開しました。
修正版は「WinRAR 7.12 Beta 1」として提供されており、ユーザーには早急なアップデートが強く推奨されます。
一部参照







