Июль–август 2025 года принесли сразу несколько сюрпризов для тех, кто часто работает с архивами. WinRAR и 7-Zip оказались уязвимы к атакам, которые позволяют перезаписывать файлы и даже запускать свой код на компьютере жертвы.
WinRAR: когда «резюме» на почте — это ловушка
CVE-2025-8088 — Zero-day, который уже гуляет по миру
Суть уязвимости в том, что при распаковке архивов WinRAR до версии 7.13 плохо проверяет пути для файлов. Если внутри архива спрятать хитрые последовательности вроде ..\ или абсолютные пути, файлы окажутся не там, где вы ожидали, а в любой папке на диске.
На практике это использовали такие группы, как RomCom и Paper Werewolf. Они присылали на почту архивы под видом резюме или вакансий. Человек открывал документ, а на его компьютере уже оказывался бэкдор, готовый связываться с сервером.
CVE-2025-6218 — «старший брат» предыдущего бага
Эта проблема похожа на CVE-2025-8088: тоже манипуляция с путями внутри архива, известная как directory traversal. Уязвимость нашли чуть раньше и исправили в версии 7.12. Эксплуатаций в «дикой природе» замечено меньше, но при этом она тоже даёт почти такие же возможности для удаленного выполнения кода (RCE).
Механизм работы уязвимости (WinRAR CVE-2025-8088 и CVE-2025-6218):
⦁ Уязвимость находится в модуле извлечения архивов.
⦁ Программа не проверяет целевой путь для распакованных файлов.
⦁ Если в имени файла есть ..\ или абсолютный путь, WinRAR положит его в любую директорию на диске.
⦁ Возможна перезапись или внедрение исполняемых файлов в чувствительные папки вроде:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
%SystemRoot%\System32
⦁ В результате, если автозагрузочные файлы или библиотеки будут перезаписаны, использующий получает RCE при следующем запуске системы или приложений.
7-Zip: опасные символические ссылки
CVE-2025-55188 — «Симлинк-портал» в чужие папки
Ситуация с 7-Zip немного другая, но тоже неприятная. В старых версиях (до 25.01) архиватор при распаковке не проверяет, куда ведут символические ссылки.
Если в архиве лежит symlink, который указывает за пределы целевой папки, 7-Zip создаст или перезапишет файл по этому пути.
На Linux это может привести к серьёзным последствиям:
⦁ перезапись .bashrc или конфигураций SSH (~/.ssh/authorized_keys)
⦁ изменение /etc/passwd
⦁ замена критичных скриптов и бинарников
Механизм работы (7-Zip CVE-2025-55188):
⦁ Архив содержит символическую ссылку на произвольное место в файловой системе.
⦁ При распаковке 7-Zip следует за ссылкой и создаёт или перезаписывает файл.
⦁ В итоге можно менять критичные конфигурации, скрипты и исполняемые файлы.
Итог: как это эксплуатируется
⦁ WinRAR (CVE-2025-8088 и CVE-2025-6218): атака типа Path Traversal / Directory Traversal, ведущая к RCE.
⦁ 7-Zip (CVE-2025-55188): атака через симлинки, позволяющая перезаписывать файлы за пределами целевой директории.
Оба бага связаны с отсутствием проверки целевых путей при распаковке. В реальных атаках это позволяет атакующему внедрять свои исполняемые файлы или изменять критичные конфигурации системы.
PoCs:
WinRAR: когда «резюме» на почте — это ловушка
CVE-2025-8088 — Zero-day, который уже гуляет по миру
Суть уязвимости в том, что при распаковке архивов WinRAR до версии 7.13 плохо проверяет пути для файлов. Если внутри архива спрятать хитрые последовательности вроде ..\ или абсолютные пути, файлы окажутся не там, где вы ожидали, а в любой папке на диске.
На практике это использовали такие группы, как RomCom и Paper Werewolf. Они присылали на почту архивы под видом резюме или вакансий. Человек открывал документ, а на его компьютере уже оказывался бэкдор, готовый связываться с сервером.
CVE-2025-6218 — «старший брат» предыдущего бага
Эта проблема похожа на CVE-2025-8088: тоже манипуляция с путями внутри архива, известная как directory traversal. Уязвимость нашли чуть раньше и исправили в версии 7.12. Эксплуатаций в «дикой природе» замечено меньше, но при этом она тоже даёт почти такие же возможности для удаленного выполнения кода (RCE).
Механизм работы уязвимости (WinRAR CVE-2025-8088 и CVE-2025-6218):
⦁ Уязвимость находится в модуле извлечения архивов.
⦁ Программа не проверяет целевой путь для распакованных файлов.
⦁ Если в имени файла есть ..\ или абсолютный путь, WinRAR положит его в любую директорию на диске.
⦁ Возможна перезапись или внедрение исполняемых файлов в чувствительные папки вроде:
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup
%SystemRoot%\System32
⦁ В результате, если автозагрузочные файлы или библиотеки будут перезаписаны, использующий получает RCE при следующем запуске системы или приложений.
7-Zip: опасные символические ссылки
CVE-2025-55188 — «Симлинк-портал» в чужие папки
Ситуация с 7-Zip немного другая, но тоже неприятная. В старых версиях (до 25.01) архиватор при распаковке не проверяет, куда ведут символические ссылки.
Если в архиве лежит symlink, который указывает за пределы целевой папки, 7-Zip создаст или перезапишет файл по этому пути.
На Linux это может привести к серьёзным последствиям:
⦁ перезапись .bashrc или конфигураций SSH (~/.ssh/authorized_keys)
⦁ изменение /etc/passwd
⦁ замена критичных скриптов и бинарников
Механизм работы (7-Zip CVE-2025-55188):
⦁ Архив содержит символическую ссылку на произвольное место в файловой системе.
⦁ При распаковке 7-Zip следует за ссылкой и создаёт или перезаписывает файл.
⦁ В итоге можно менять критичные конфигурации, скрипты и исполняемые файлы.
Итог: как это эксплуатируется
⦁ WinRAR (CVE-2025-8088 и CVE-2025-6218): атака типа Path Traversal / Directory Traversal, ведущая к RCE.
⦁ 7-Zip (CVE-2025-55188): атака через симлинки, позволяющая перезаписывать файлы за пределами целевой директории.
Оба бага связаны с отсутствием проверки целевых путей при распаковке. В реальных атаках это позволяет атакующему внедрять свои исполняемые файлы или изменять критичные конфигурации системы.
PoCs: