Los hackers encontraron la manera de convertir cualquier archivo ZIP en una bomba. Gracias, WinRAR

WinRAR solucionó una vulnerabilidad grave que permitía la ejecución de programas maliciosos inmediatamente después de extraer un archivo infectado. El problema recibió el identificador CVE-2025-6218 y una puntuación de 7,8 según la escala CVSS, lo que corresponde a un nivel de amenaza alto.

Esta vulnerabilidad fue descubierta por un especialista conocido como whs3-detonator y registrada oficialmente a través de la plataforma Zero Day Initiative el 5 de junio de 2025. El fallo afecta únicamente a las versiones de WinRAR para Windows, a partir de la versión 7.11 y todas las anteriores. Ya está disponible una corrección para proteger a los usuarios: está incluida en la versión WinRAR 7.12 beta 1, publicada recientemente.

Según se explica en la descripción de la actualización, anteriormente los programas WinRAR, RAR para Windows, UnRAR, así como el código fuente portable de UnRAR y la biblioteca UnRAR.dll podían ser engañados al extraer un archivo especialmente manipulado. El archivo malicioso podía contener rutas relativas falsas, lo que permitía que los archivos se extrajeran en ubicaciones diferentes a las elegidas por el usuario, como por ejemplo en directorios del sistema o carpetas de inicio automático de Windows.

Si estos archivos resultaban ser maliciosos, podían activarse automáticamente en el siguiente inicio de sesión del usuario. Aunque estos programas se ejecutan con los privilegios del usuario y no con permisos de administrador o del sistema, esto es suficiente para robar datos confidenciales como contraseñas guardadas y cookies del navegador, así como para instalar mecanismos ocultos de persistencia o facilitar un movimiento lateral dentro de la red.

El peligro de CVE-2025-6218 está algo limitado por el hecho de que su explotación requiere la participación del usuario: este debe abrir el archivo malicioso o hacer clic en un enlace especialmente creado. Sin embargo, dado el uso generalizado de WinRAR y la diversidad de métodos para distribuir archivos infectados, la amenaza sigue siendo elevada.

Junto con la solución de CVE-2025-6218, la nueva versión de WinRAR también corrige otro problema: la inyección de código HTML al generar informes. Esta vulnerabilidad fue descubierta por el especialista Marcin Bobryk. Permitía insertar HTML o JavaScript arbitrario en el informe final si el nombre de un archivo dentro del archivo comprimido contenía caracteres especiales como «<» o «>». Al abrir dicho informe en un navegador, podía producirse una inyección de código no autorizada.

Además, la actualización soluciona dos errores menores: la verificación incompleta de los volúmenes de recuperación y la pérdida de precisión en las marcas de tiempo de archivos Unix.

Aunque la vulnerabilidad CVE-2025-6218 no afecta a las versiones para Unix, Android y UnRAR portable, los desarrolladores recomiendan a todos los usuarios, sin importar la plataforma, actualizar los programas a la última versión lo antes posible.

Hasta el momento no se han reportado casos de explotación activa de CVE-2025-6218. Sin embargo, dada la amplia difusión de WinRAR en todo el mundo y el interés constante de los hackers en este software, los expertos recomiendan encarecidamente no retrasar la actualización.