【漏洞复现】CVE-2025-8088｜WinRAR 路径遍历漏洞

0x00 前言

WinRAR 是一款功能强大的压缩包管理器，它是档案工具RAR在 Windows环境下的图形界面。

该软件可用于备份数据，缩减电子邮件附件的大小，解压缩从 Internet 上下载的RAR、ZIP及其它类型文件，并且可以新建 RAR 及 ZIP 格式等的压缩类文件。

从5.60版开始，WinRAR启用了新的图标，但用户仍可以通过官网提供的主题包换回原版风格的图标。

0x01 漏洞描述

攻击者利用windows的NTFS备用数据流(ADS)特性隐藏恶意文件，通过路径遍历漏洞绕过RAR验证。

当用户解压时，表面显示正常文件，实则恶意LNK/DLL/EXE文件被释放至系统关键目录（如启动项/临时文件夹），实现持久化攻击。攻击者还添加大量无效路径ADS干扰用户查看，极大增强了隐蔽性。

0x02 CVE编号

CVE-2025-8088

0x03 影响版本

WinRAR <= 7.12

0x04 漏洞复现

1、环境搭建

WinRAR版本7.12
CVE-2025-8088利用脚本poc.py
1.txt  正常的文本文件
a.bat  恶意脚本

2、复现过程

使用CVE-2025-8088利用脚本poc.py生成恶意压缩包文件。

POC：

https://github.com/sxyrxyy/CVE-2025-8088-WinRAR-Proof-of-Concept-PoC-Exploit-

命令如下：

python poc.py --decoy 1.txt --payload a.bat  --drop "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" --rar "C:\Program Files\WinRAR\rar.exe"

使用WinRAR解压恶意压缩包。

文件夹下成功解压出正常的文件，恶意脚本也出现在启动项目录。

0x05 参考链接

https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/

https://www.win-rar.com/singlenewsview.html?&tx_ttnews%5Btt_news%5D=283&cHash=ff1fa7198ad19261efb202dafd7be691