Een kwetsbaarheid in de populaire archiveringssoftware WinRAR is actief gebruikt bij aanvallen voordat er een beveiligingsupdate beschikbaar was. Inmiddels is er wel een patch voorhanden en worden gebruikers opgeroepen die te installeren. WinRAR beschikt niet over een automatische updatefunctie, wat inhoudt dat gebruikers de laatste versie zelf handmatig moeten installeren. Het gaat om WinRAR 7.13.

Het beveiligingslek, aangeduid als CVE-2025-8088, maakt path traversal bij het uitpakken van archiefbestanden mogelijk. Een aanvaller kan een doelwit een speciaal geprepareerd archiefbestand sturen of laten downloaden. Wanneer de gebruiker het archiefbestand uitpakt wordt zonder dat die het door heeft een uitvoerbaar bestand in een locatie geplaatst die automatisch door Windows wordt geladen, zoals de Windows Startup map.

Wanneer de computer vervolgen wordt herstart zal het uitvoerbare bestand in de betreffende map automatisch worden geladen, waardoor het systeem besmet raakt. Antivirusbedrijf ESET ontdekte dat aanvallers bij spearphishing-aanvallen e-mails verstuurden met RAR-bestanden als bijlage, zo laat het bedrijf tegenover Bleeping Computer weten. Volgens ESET zijn de aanvallen het werk van een groep criminelen genaamd RomCom, die zich onder andere met ransomware-aanvallen bezighoudt. Het antivirusbedrijf komt op een later moment met meer details. WinRAR-kwetsbaarheden zijn in het verleden vaker bij aanvallen gebruikt.