WinRAR, uno de los compresores más utilizados en Windows, ha corregido una vulnerabilidad grave (rastreada como CVE-2025-8088) que ya está siendo explotada activamente.
El fallo, descubierto por los investigadores de ESET Anton Cherepanov, Peter Košinár y Peter Strýček, es un "path traversal" (CWE-35). Esto permite que un archivo malicioso manipule la ruta de extracción y escriba ficheros fuera del directorio elegido por el usuario, posibilitando la ejecución de código. La Base de Datos Nacional de Vulnerabilidades (NVD) atribuye a esta vulnerabilidad una severidad CVSSv4 de 8.4 (alta) y la documenta como "explotada en el mundo real".
También te podría interesar: Vulnerabilidad en WhatsApp permitía ejecutar .EXE disfrazados
RARLAB ha publicado WinRAR 7.13 (el 31 de julio de 2025), indicando explícitamente que "otra vulnerabilidad de directory traversal, distinta a la de WinRAR 7.12, ha sido corregida". En sus notas de versión, el proveedor detalla que versiones anteriores de WinRAR (y los componentes RAR/UnRAR para Windows, incluida UnRAR.dll) "pueden ser engañadas para usar una ruta definida dentro de un archivo especialmente diseñado en lugar de la especificada por el usuario". El problema afecta a Windows y la actualización 7.13 mitiga este vector de ataque.
La explotación ha sido reportada por varios medios y se ha observado en campañas de phishing que distribuyen RomCom (un grupo vinculado a Rusia en distintos informes). En estos ataques, al abrir o extraer el archivo RAR señuelo, se consigue escribir ficheros en rutas sensibles, como por ejemplo, la carpeta Startup, logrando que se ejecuten en el siguiente inicio de sesión.
Lee también: Evita el Malware de Tiktok y Protege Tus Datos
Este zero-day llega poco después de CVE-2025-6218 (junio de 2025), otro "directory traversal" en WinRAR con impacto similar (escritura fuera del directorio y posible ejecución remota de código - RCE) que también requería la interacción del usuario. El paralelismo entre ambos fallos subraya el atractivo de los gestores de archivos para los atacantes y la necesidad de actualizar con rapidez.
El grupo Paper Werewolf (GOFFEE) habría combinado este nuevo fallo con CVE-2025-6218 en ataques contra organizaciones rusas. Semanas antes, un actor identificado como “zeroplayer” anunció en Exploit.in un supuesto zero-day de WinRAR por $80,000; la firma Obrela documentó ese anuncio el 17 de julio de 2025. Aunque la atribución sigue abierta, el mensaje es claro: hay explotación activa y los parches ya están disponibles.
Como nota relacionada, el gestor alternativo 7-Zip ha corregido CVE-2025-55188 (manejo inseguro de enlaces simbólicos durante la extracción) en la versión 25.01. Bajo circunstancias concretas, esta vulnerabilidad permitiría la escritura arbitraria de ficheros e incluso la ejecución de código. Si su organización usa 7-Zip, es conveniente actualizar también.
Recomendaciones:
- Actualice de inmediato a WinRAR 7.13 y bloquee versiones anteriores.
- Endurezca el manejo de adjuntos: filtre o aísle archivos .rar/.zip externos y, si es imprescindible abrirlos, hágalo en un entorno controlado (sandbox).
- Supervise las escrituras a rutas sensibles (por ejemplo,
Startup, AppData, ProgramData) realizadas por WinRAR.exe/UnRAR.dll. - Refuerce la concienciación: estos ataques suelen requerir la interacción del usuario.
- Si su entorno utiliza 7-Zip, actualice también a la versión 25.01
En el complejo panorama actual de ciberseguridad, una vulnerabilidad como la de WinRAR demuestra que los ataques no distinguen entre empresas grandes, medianas o pequeñas. Para mitigar estos riesgos de forma efectiva, es crucial contar con un socio experto. E-dea Network ofrece soluciones integrales de ciberseguridad y cumplimiento normativo, enfocadas en la detección proactiva de amenazas, la protección de la red y la capacitación del personal. Con nosotros, su empresa no solo se defiende, sino que construye una postura de seguridad más robusta y resiliente ante los desafíos digitales.
Referencias:
TheHackerNews
