WinRAR 7.23 修复 RAR5 恢复卷堆溢出漏洞

WinRAR 7.23 修复了 RAR5 恢复卷处理中的堆溢出漏洞,该漏洞可能导致 WinRAR、RAR 和 UnRAR 在处理精心设计的 .rev 文件时崩溃。

该问题被跟踪为 CVE-2026-14191,并影响恢复或测试操作期间使用的 RAR5 恢复卷解析器。这NVD条目CNA 将该漏洞评为高严重性,CVSS 3.1 评分为 7.8。

RARLAB 宣布修复WinRAR 7.23,于 2026 年 6 月 30 日发布。该更新还修复了符号链接提取问题并更新了捆绑的 7z 提取库。

CVE-2026-14191 有何影响

CVE-2026-14191 影响 WinRAR、RAR 和 UnRAR 中的恢复卷处理。恢复卷使用 .rev 文件并帮助重建多卷 RAR 存档中丢失或损坏的部分。

该漏洞位于 RAR5 恢复卷解析器中。根据CVE记录,一组精心设计的两个或多个 .rev 文件可以在恢复或测试期间触发越界堆写入。

RARLAB 表示 UnRAR.dll 不受此特定堆溢出的影响,因为该库不包括恢复卷处理。这种区别对于嵌入 UnRAR.dll 仅用于提取的开发人员和产品很重要。

物品细节
CVECVE-2026-14191
漏洞类型堆越界写入
受影响地区RAR5 恢复卷 .rev 解析器
受影响的工具WinRAR、RAR 和 UnRAR
不受此缺陷影响UnRAR.dll 恢复卷路径,因为它不处理恢复卷
固定版本WinRAR 和 RAR 7.23

该缺陷不允许攻击者仅通过网络访问系统来破坏系统。利用该漏洞需要精心设计的恢复卷集以及对这些文件执行恢复、测试或相关操作的用户或自动化进程。

实际上,攻击者需要通过网络钓鱼、文件共享、下载或其他存档分发渠道传递恶意 .rev 文件。在自动处理来自不受信任来源的存档或恢复集的环境中,风险会增加。

成功利用该漏洞可能会损坏堆内存并使受影响的应用程序崩溃。 CVSS 矢量还赋予该问题高度机密性、完整性和可用性影响,这意味着防御者不应将其视为仅是无害的崩溃错误。

  • 攻击者需要提供精心制作的 RAR5 恢复卷文件。
  • 受害者或工作流程必须处理恢复卷集。
  • 最直接可见的影响可能是应用程序崩溃。
  • 该错误会影响处理不受信任输入的存档处理代码。
  • 用户应将 WinRAR、RAR 和 UnRAR 更新为固定版本。

7.23 更新包括涉及符号链接的第二个安全修复。 RARLAB 表示,特制的 RAR 存档可以在提取过程中创建指向预期目标文件夹外部的符号链接。

WinRAR 发行说明说额外的检查现在可以防止通过此类链接放置文件,甚至跨多个提取命令。

此修复很重要,因为提取期间的路径控制仍然是存档实用程序攻击的常见目标。精心设计的逃离预期文件夹的存档可以为文件植入、持久性或稍后在某些攻击链中执行代码创造机会。

WinRAR 7.23 中的修复受影响的组件安全影响
RAR5 恢复卷堆溢出WinRAR、RAR 和 UnRAR防止精心设计的 .rev 文件在恢复处理期间损坏堆内存
符号链接提取强化WinRAR、RAR、UnRAR 和 UnRAR.dll 提取工作流程阻止基于符号链接的放置在预期提取文件夹之外
7zxa.dll 库更新7z 存档提取支持添加上游 7-Zip 错误和安全修复

RARLAB 还将捆绑的 7zxa.dll 库更新到版本 26.02。该库在 WinRAR 中处理 7z 存档提取。

上游7-Zip 26.02 发行说明虽然很简短,但他们指出一些错误和漏洞已得到修复。 RARLAB 表示,更新后的库包含了 7-Zip 开发人员的错误和安全修复。

这使得 WinRAR 7.23 更新范围比一个 CVE 更广泛。用户还可以获得针对 7z 处理和符号链接行为的提取强化。

为什么归档实用程序补丁很重要

存档工具通常处理来自电子邮件附件、消息应用程序、下载门户、共享驱动器、恶意软件沙箱和票务系统的文件。这使得它们成为与不受信任的内容的共同接触点。

攻击者还对 WinRAR 缺陷表现出长期兴趣。一个谷歌威胁情报报告2026 年 1 月描述了政府支持且出于经济动机的威胁行为者对早期 CVE-2025-8088 WinRAR 漏洞的广泛利用。

早期的活动涉及不同的路径遍历问题,而不是 CVE-2026-14191。尽管如此,它还是说明了为什么组织应该快速修补存档实用程序,而不是将它们视为低优先级的桌面工具。

  • 存档实用程序经常检查来自不受信任来源的文件。
  • 安全工具、邮件系统和备份工作流程可能会自动调用提取实用程序。
  • 旧的 WinRAR 漏洞已出现在真实的攻击活动中。
  • 如果不集中管理更新,用户可能会保留过时的版本多年。
  • 修补存档工具可以降低崩溃风险和文件提取滥用路径。

谁应该先更新

如果家庭用户打开 RAR 存档、修复损坏的存档或通过电子邮件、消息应用程序或下载网站接收压缩文件,则应更新 WinRAR。

企业应优先考虑自动处理文件的系统。这包括邮件网关、帮助台附件管道、备份工具、文件转换服务、恶意软件分析系统和用于文档接收的共享工作站。

开发人员还应该检查嵌入的 RAR 或 UnRAR 二进制文件。即使桌面 WinRAR 安装收到更新后,服务器端应用程序也可能仍然容易受到攻击。

环境建议采取的行动
个人 Windows 电脑从官方下载页面安装 WinRAR 7.23 或更高版本
企业桌面通过补丁管理部署更新并确认版本覆盖范围
邮件和文件处理系统审核自动化工作流程中使用的 RAR、UnRAR 和相关提取实用程序
开发商和供应商查看处理档案的产品中捆绑的二进制文件和库
安全团队监控来自不受信任来源的可疑 .rev 文件和存档修复操作

用户如何获取修复版本

用户应从官方下载当前版本RARLAB 下载页面或 WinRAR 网站。他们应该避免第三方下载镜像,除非他们的组织已经在内部验证和重新打包软件。

安装后,用户应检查版本号并确认运行的是 WinRAR 7.23 或更高版本。命令行 RAR 和 UnRAR 部署应该受到同样的关注,尤其是在服务器上。

内部打包软件的组织应更新部署映像、软件目录、漏洞扫描程序和白名单。在主应用程序修补后很长一段时间内,旧的便携式副本可以保留在文件服务器或技术人员工具包上。

  • 安装 WinRAR 7.23 或更高版本。
  • 更新使用的命令行 RAR 和 UnRAR 工具。
  • 在共享文件夹和管理工具包中搜索旧的便携式副本。
  • 尽可能阻止或隔离来自未知来源的可疑 .rev 文件。
  • 限制对不受信任的 RAR5 卷集进行自动恢复操作。
  • 将存档实用程序保留在正常的补丁管理工作流程中。

防御者应该监控什么

安全团队应该寻找意外的 RAR5 恢复卷文件,尤其是当它们来自电子邮件、公共上传表单、票证附件或外部文件共享服务时。

上游7-Zip 发布页面还表明归档工具继续获得安全修复。当这些依赖关系出现在其他产品中时,团队应该跟踪它们。

对于上下文,谷歌威胁情报分析之前的 WinRAR 漏洞利用警告称,攻击者继续针对运行缓慢的环境使用已修补的存档漏洞。

信号为什么这很重要
意外的 .rev 文件可能表明已交付精心制作的恢复卷集
WinRAR 或 UnRAR 崩溃处理可疑文件后可以显示存档解析器的不稳定性
存档未知来源的修复事件可能会在旧版本中触发易受攻击的恢复量代码
服务器上的旧 RAR 或 UnRAR 二进制文件可以暴露自动文件处理工作流程
第三方产品捆绑归档工具可能需要单独的供应商更新或依赖项替换

底线

WinRAR 7.23 是一个以安全为重点的维护版本,修复了高严重性的 RAR5 恢复卷堆溢出并增强了提取行为。

最紧急的修复是 CVE-2026-14191,当易受攻击的工具处理精心设计的 .rev 恢复卷时,它可能会损坏堆内存。此更新还改进了符号链接处理并更新了捆绑的 7z 提取库。

用户和管理员应安装修复版本、更新命令行工具并检查可能仍依赖于旧版 RAR 或 UnRAR 二进制文件的自动存档处理工作流程。官方下载渠道.

FAQ

WinRAR 7.23 修复了哪些问题?

WinRAR 7.23 修复了 RAR5 恢复卷堆溢出漏洞(编号为 CVE-2026-14191)。它还修复了符号链接提取问题,并将捆绑的 7zxa.dll 提取库更新到版本 26.02。

什么是 CVE-2026-14191?

CVE-2026-14191 是 WinRAR 和相关命令行工具使用的 RAR5 恢复卷 .rev 解析器中的越界堆写入漏洞。当处理精心设计的恢复卷集时可以触发它。

CVE-2026-14191 是否影响 UnRAR.dll?

RARLAB 表示 UnRAR.dll 不受此特定恢复卷堆溢出的影响,因为 UnRAR.dll 不包括恢复卷处理。 WinRAR、RAR 和 UnRAR 受到影响。

CVE-2026-14191 是否可以被远程利用?

该缺陷不是纯粹的网络远程利用。 CVSS 矢量列出了本地攻击矢量和所需的用户交互,因为受害者或自动化工作流程必须处理精心设计的 RAR5 恢复卷集。

谁应该更新到 WinRAR 7.23?

任何使用 WinRAR、RAR 或 UnRAR 的人都应该更新,尤其是处理来自电子邮件、下载、共享存储、票务系统或自动文件处理工作流程的存档的用户和组织。