Une faille critique de traversée de répertoire (directory traversal) a été découverte dans WinRAR pour Windows — versions 7.11 et antérieures. La vulnérabilité, identifiée sous CVE‑2025‑6218, permet à un attaquant de créer des chemins malveillants dans une archive afin d’extraire des fichiers en dehors du dossier choisi par l’utilisateur 

Lors de l'extraction d’un fichier piégé, WinRAR peut déposer des exécutables arbitraires dans des répertoires sensibles du système, comme les dossiers de démarrage, sans action supplémentaire de l’utilisateur. Ces programmes pourraient s’exécuter automatiquement au démarrage de Windows, permettant ainsi une exécution de code au niveau de l’utilisateur courant.

L’exploitation nécessite que l’utilisateur ouvre un fichier archive compromis ou visite une page web malveillante encourageant son téléchargement. Le score CVSS 3.0 est de 7,8, classant la vulnérabilité comme « élevée » 

En réponse, RARLAB a publié une mise à jour corrective : WinRAR 7.12 bêta 1 (10 juin 2025), bientôt suivie de la version finale 7.12. Il est impératif que les utilisateurs mettent à jour immédiatement pour se prémunir contre ce risque 

La faille ne concerne que la version Windows ; les versions Linux, Android et UnRAR pour Unix ne sont pas affectées. Toutefois, compte tenu de la forte popularité de WinRAR (plus de 500 millions d’utilisateurs), l’impact potentiel reste important.

Pour mitiger le risque en attendant la mise à jour, il est conseillé de ne pas extraire d’archives provenant de sources non fiables et d’utiliser des solutions de sécurité (EDR/antivirus) capables de bloquer les scripts ou exécutables inattendus. Un audit des dossiers de démarrage et des chemins système est également recommandé pour détecter toute présence d’exécutables non autorisés.