https://vul.hatenadiary.com/entry/WinRAR

malware-log.hatenablog.com

【概要】

公開日	登録日	CVE番号	NVD	ベンダー	CVSS v4	CVSS v3	CWE	脆弱性	KEV	備考
2023/08/17	2023/08/14	CVE-2023-40477	NVD	RARLab	-	7.8(ZDI)	CWE-129	配列インデックスの不適切な検証	-	https://www.zerodayinitiative.com/advisories/ZDI-23-1152/
2023/08/23	2023/07/25	CVE-2023-38831	NVD	RARLab	-	7.8(NVD) 7.8(CISA-ADP)	CWE-345 CWE-351	データの信頼性についての不十分な検証不十分な型の区別	-	https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
2025/06/21	2025/06/17	CVE-2025-6218	NVD	RARLab	-	7.8(ZDI)	CWE-22	パス・トラバーサル	2025/12/09
2025/08/08	2025/07/23	CVE-2025-8088	NVD	RARLab	8.4(CISA-ADP)	8.8(NVD)	CWE-35	パストラバーサル	2025/08/12

【最新情報】

◆Windowsの圧縮ツール「WinRAR」重大脆弱性、修正後も悪用止まらず (ITmedia, 2026/03/03 13:00)
https://atmarkit.itmedia.co.jp/ait/articles/2603/03/news060.html
⇒ https://vul.hatenadiary.com/entry/2026/03/03/000000

【ニュース】

■2019年

◇2019年2月

◆WinRAR Multiple Security Vulnerabilities (Security Focus, 2019/02/05)
https://www.securityfocus.com/bid/106948
⇒ https://vul.hatenadiary.com/entry/2019/03/21/080928

◆老舗の圧縮解凍ソフト「WinRAR」に19年以上前から存在する脆弱性が発覚 (Gigazine, 2019/02/21 11:06)
https://gigazine.net/news/20190221-winrar-security-flaw/
⇒ https://vul.hatenadiary.com/entry/2019/02/21/000000

◆人気の圧縮・解凍ソフト「WinRAR」に脆弱性、アップデートを (マイナビニュース, 2019/02/22 17:23)
https://news.mynavi.jp/article/20190222-775563/
⇒ https://vul.hatenadiary.com/entry/2019/02/22/000000

◆老舗圧縮解凍ソフト「WinRAR」の脆弱性を狙う「悪意あるアーカイブファイル」の実例はこんな感じ (Gigazine, 2019/02/28)
https://gigazine.net/news/20190228-winrar-exploit/
⇒ https://vul.hatenadiary.com/entry/2019/02/28/000000_1

◇2019年3月

◆WinRARで見つかった「19年間放置されていた脆弱性」の正体は？ (TechTarget, 2019/03/14 05:00)

WinRARの全バージョンに、2000年よりも前から存在していたとみられる脆弱性が発見され、修正された。数億人ともいわれるWinRARユーザーが、修正パッチを受け取れるかどうかは不透明だ

https://techtarget.itmedia.co.jp/tt/news/1903/14/news11.html
⇒ https://vul.hatenadiary.com/entry/2019/03/14/000000

■2023年

◇2023年8月

◆老舗圧縮解凍ソフト「WinRAR」でファイルを開くだけで任意コード実行を可能にする脆弱性が発見される、すでに修正版が配布済み (Gigazine, 2023/08/21 11:15)
https://gigazine.net/news/20230821-winrar-cve-2023-40477/
⇒ https://vul.hatenadiary.com/entry/2023/08/21/000000

◆WinRARに任意コード実行の脆弱性、ただちにアップデートを (マイナビニュース, 2023/08/21 18:22)
https://news.mynavi.jp/techplus/article/20230821-2753054/
⇒ https://vul.hatenadiary.com/entry/2023/08/21/000000_2

◆WinRAR zero-day exploited since April to hack trading accounts (BleepingComputer, 2023/08/23 09:53)
[WinRARのゼロデイが4月から悪用され、取引口座がハッキングされる]
https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/
⇒ https://vul.hatenadiary.com/entry/2023/08/23/000000

◆WinRARに悪意のあるコード実行の脆弱性、ただちにアップデートを (マイナビニュース, 2023/08/25 09:18)
https://news.mynavi.jp/techplus/article/20230825-2755895/
⇒ https://vul.hatenadiary.com/entry/2023/08/25/000000_2

◇2023年12月

◆ウクライナを狙う脅威アクター「UAC-0099」、WinRARを悪用してサイバー攻撃 (マイナビニュース, 2023/12/28 08:47)
https://news.mynavi.jp/techplus/article/20231228-2851344/
⇒ https://vul.hatenadiary.com/entry/2023/12/28/000000

■2025年

◇2025年4月

◆WinRARに脆弱性、アップデートを - JPCERT/CC (マイナビニュース, 2025/04/08 11:49)
https://news.mynavi.jp/techplus/article/20250408-3173995/
⇒ https://vul.hatenadiary.com/entry/2025/04/08/000000_1

◇2025年7月

◆解凍ソフトWinRARの複数の脆弱性が修復されたv7.12など - JPCERT/CCレポート (マイナビニュース, 2025/07/03 12:13)
https://news.mynavi.jp/techplus/article/20250703-3369908/
⇒ https://vul.hatenadiary.com/entry/2025/07/03/000000_3

◇2025年8月

◆「WinRAR」に深刻な脆弱性 - ゼロデイ攻撃で判明 (Security NEXT, 2025/08/12)
https://www.security-next.com/173314
⇒ https://vul.hatenadiary.com/entry/2025/08/12/000000_3

◆米当局、「IE」「Excel」「WinRAR」の脆弱性悪用に注意喚起 (Security NEXT, 2025/08/13)
https://www.security-next.com/173337
⇒ https://vul.hatenadiary.com/entry/2025/08/13/000000

◇2025年12月

◆CISA Warns of WinRAR 0-Day RCE Vulnerability Exploited in Attacks (Cyber Security News, 2025/12/10)
[CISA、攻撃で悪用されるWinRARの0-Day RCE脆弱性について警告]
https://cybersecuritynews.com/winrar-0-day-rce-vulnerability-exploited/
⇒ https://vul.hatenadiary.com/entry/2025/12/10/000000_2

◆Warning: WinRAR Vulnerability CVE-2025-6218 Under Active Attack by Multiple Threat Groups (THe hacker News, 2025/12/10)
[警告：WinRARの脆弱性CVE-2025-6218が複数の脅威グループによる活発な攻撃を受けています]
https://thehackernews.com/2025/12/warning-winrar-vulnerability-cve-2025.html
⇒ https://vul.hatenadiary.com/entry/2025/12/10/000000_3

■2026年

◇2026年3月

◆Windowsの圧縮ツール「WinRAR」重大脆弱性、修正後も悪用止まらず (ITmedia, 2026/03/03 13:00)
https://atmarkit.itmedia.co.jp/ait/articles/2603/03/news060.html
⇒ https://vul.hatenadiary.com/entry/2026/03/03/000000

【ブログ】

■2023年

◇2023年8月

◆Traders' Dollars in Danger: CVE-2023-38831 zero-Day vulnerability in WinRAR exploited by cybercriminals to target traders (Group-IB, 2023/08/23)
[トレーダーの資金が危険に WinRARのゼロデイ脆弱性CVE-2023-38831がサイバー犯罪者に悪用され、トレーダーが標的にされる]
https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
⇒ https://vul.hatenadiary.com/entry/2023/08/23/000000_2

【公開情報】

◆Extracting a 19 Year Old Code Execution from WinRAR (Check Point, 2019/02/20)
https://research.checkpoint.com/extracting-code-execution-from-winrar/
⇒ https://vul.hatenadiary.com/entry/2019/02/20/000000_1

【ExploitCode】

◆CVE-2018-20250-WinRAR-ACE

Proof of concept code in C# to exploit the WinRAR ACE file extraction path (CVE-2018-20250).

https://github.com/blau72/CVE-2018-20250-WinRAR-ACE
⇒ https://vul.hatenadiary.com/entry/2019/03/02/000000

【検索】

■Google

google: WinRAR
google:news: WinRAR
google: site:virustotal.com WinRAR
google: site:github.com WinRAR

■Bing

https://www.bing.com/search?q=WinRAR
https://www.bing.com/news/search?q=WinRAR

■Twitter

https://twitter.com/search?q=%23WinRAR
https://twitter.com/hashtag/WinRAR

■Exploit Code / PoC

https://www.exploit-db.com/search?q=WinRAR
https://attackerkb.com/search?q=WinRAR

【関連まとめ記事】

◆全体まとめ

◆アプリケーション (まとめ)
https://vul.hatenadiary.com/entry/Application