Por Mid 
WinRAR corrige un 0-day explotado: actualiza a 7.13 cuanto antes
Tiempo estimado de lectura: 4 minutos | Dificultad técnica: Media
Conclusiones clave
- Se ha lanzado WinRAR 7.13 para corregir la vulnerabilidad CVE-2025-8088, relacionada con ataques activos.
- La vulnerabilidad permite la ejecución de código malicioso al descomprimir archivos diseñados especialmente para ello.
- Recomendado actualizar a WinRAR 7.13 y mantener un manejo seguro de archivos adjuntos.
- La explotación activa ha sido observada en campañas de phishing, destacando la importancia de la actualización.
Índice
Vulnerabilidad CVE-2025-8088
RARLAB ha lanzado la versión 7.13 de WinRAR para abordar la vulnerabilidad CVE-2025-8088, una brecha de seguridad de tipo path traversal que ya está siendo objeto de explotación en ataques reales. Esta vulnerabilidad permite la ejecución de código malicioso al descomprimir archivos especialmente diseñados y se ha relacionado con varias campañas de phishing recientes.
WinRAR, un compresor de archivos muy utilizado en el sistema operativo Windows, ha solucionado esta grave vulnerabilidad, que ha sido documentada como CVE-2025-8088. Investigadores de ESET, entre ellos Anton Cherepanov, Peter Košinár y Peter Strýček, han descubierto que se trata de un problema de traversal de rutas (CWE-35) que habilita a un archivo malicioso para manipular la ruta de extracción. Esto posibilita la escritura de archivos fuera del directorio que el usuario ha elegido, lo que a su vez podría conducir a la ejecución de código.
La entrada en la NVD califica esta vulnerabilidad con una severidad CVSS de 8.4 (alta) y la clasifica como «explotada en el mundo real». RARLAB ha enfatizado, en sus notas de versión, que en WinRAR 7.13 (lanzado el 31 de julio de 2025) se ha corregido «una vulnerabilidad de directory traversal diferente a la de WinRAR 7.12».
Explotación de la vulnerabilidad
Se ha informado que diversas fuentes han señalado la explotación activa de esta vulnerabilidad. Se ha observado en campañas de phishing que distribuyen RomCom, un grupo relacionado con Rusia según diferentes informes. Durante estos ataques, al abrir o extraer un archivo RAR disfrazado, se logra la escritura de archivos en ubicaciones sensibles, como la carpeta Startup, lo cual permite que esos archivos se ejecuten en el siguiente inicio de sesión.
Este 0-day surge poco tiempo después de la vulnerabilidad CVE-2025-6218 (junio de 2025), otra vulnerabilidad de directory traversal en WinRAR que presenta un impacto similar (escritura fuera del directorio y posible RCE) y también requería interacción del usuario. La similitud entre ambas vulnerabilidades resalta el interés que representan los gestores de archivos para los atacantes, así como la urgencia de realizar actualizaciones.
Se ha reportado que el grupo Paper Werewolf (GOFFEE) ha combinado este nuevo fallo con CVE-2025-6218 para atacar a organizaciones rusas. Semanas antes, un actor conocido como “zeroplayer” publicó en Exploit.in un aparente 0-day de WinRAR por 80.000 dólares; esta información fue documentada por la firma Obrela el 17 de julio de 2025. Aunque aún no se ha establecido de manera definitiva la atribución, es evidente que la explotación es activa y los parches ya están disponibles.
Recomendaciones
- Actualiza de inmediato a WinRAR 7.13 y desactiva versiones más antiguas.
- Refuerza el manejo de archivos adjuntos: filtra o aísla archivos .rar/.zip de fuentes externas y, si es necesario abrirlos, hazlo en un entorno seguro.
- Monitorea las escrituras en rutas sensibles (por ejemplo, Startup, AppData, ProgramData) realizadas por WinRAR.exe/UnRAR.dll y promueve la concienciación entre los usuarios, dado que estos ataques suelen requerir interacción por parte del usuario.
- Si tu entorno utiliza 7-Zip, actualiza también a la versión 25.01.