Die Entwickler von WinRAR haben am 30. Juli 2025 die Version 7.13 Final veröffentlicht, um eine schwerwiegende Sicherheitslücke zu schließen. Die Schwachstelle, gelistet als CVE-2025-8088 mit einem CVSS-Score von 8,8, betrifft ausschließlich die Windows-Version des Programms sowie RAR, UnRAR, die portable UnRAR-Variante und die UnRAR.dll. Über manipulierte Archive kann der vorgegebene Entpfad umgangen und stattdessen ein vom Angreifer festgelegter Speicherort genutzt werden. In Kombination mit geeigneten Payloads ist so die Ausführung beliebigen Codes möglich.

Laut einem Bericht von The Hacker News wird die Lücke bereits als Zero-Day aktiv ausgenutzt. Hinweise deuten darauf hin, dass die russische Hackergruppe "Paper Werewolf" die Schwachstelle zusammen mit einer weiteren, im Juni 2025 behobenen Directory-Traversal-Lücke (CVE-2025-6218) in gezielten Phishing-Kampagnen gegen russische Organisationen einsetzen. Die Angriffe nutzen präparierte Archive, die Dateien außerhalb des Zielverzeichnisses ablegten – etwa im Windows-Startup-Ordner – und so Schadcode beim nächsten Systemstart aktivieren.

Die entdeckte Sicherheitslücke wurde von Anton Cherepanov, Peter Kosinar und Peter Strycek vom Sicherheitsunternehmen ESET gemeldet. Frühere Hinweise deuten darauf hin, dass der Exploit bereits Anfang Juli 2025 im russischsprachigen Darknet angeboten wurde. Nutzer älterer WinRAR-Versionen bis einschließlich 7.12 sind anfällig und sollten dringend auf Version 7.13 aktualisieren. Neben der Sicherheitskorrektur behebt das Update auch zwei Funktionsfehler der Vorgängerversion.