Sebuah kerentanan baru telah ditemukan dalam perangkat lunak WinRAR versi sebelum 7.11 yang memungkinkan penyerang untuk melewati mekanisme keamanan inti Windows, yaitu Mark of the Web (MotW), sehingga memungkinkan eksekusi arbitrary code pada sistem yang terpengaruh. Kerentanan ini terdaftar dengan kode CVE-2025-31334 dan memiliki skor CVSS 6.8.
Selain itu, kerentanan ini juga dikaitkan dengan kelemahan CWE-356: Product UI does not Warn User of Unsafe Actions, yaitu kelemahan yang terjadi ketika antarmuka pengguna gagal memberikan peringatan sebelum melakukan tindakan yang tidak aman atas nama pengguna. Dalam konteks WinRAR, file yang diekstrak dari arsip .rar maupun .zip buatan penyerang tidak diberi label MotW, sehingga Windows tidak memunculkan peringatan keamanan saat file dijalankan.
CVE-2025-31334 mengeksploitasi kelemahan dalam penanganan WinRAR terhadap tautan simbolik (symbolic links) yang mengarah ke file atau folder lain. Ketika pengguna mengekstrak arsip berbahaya yang telah dimodifikasi untuk menyertakan symbolic links, WinRAR gagal menerapkan flag MotW pada file eksekusi yang ditautkan. Akibatnya, penyerang dapat mengeksekusi kode berbahaya tanpa memicu peringatan keamanan standar Windows.
Dampak dari kerentanan ini sangat signifikan. Dengan kemampuan untuk melewati peringatan keamanan, penyerang dapat menyebarkan malware, mencuri data sensitif, atau mendapatkan akses penuh terhadap sistem. Selain itu, serangan ini dapat dilakukan tanpa memerlukan interaksi pengguna yang kompleks, menjadikannya ancaman yang sulit dideteksi. Eksploitasi terhadap celah ini juga dapat digunakan dalam kampanye serangan siber yang lebih besar, termasuk penyebaran ransomware dan aktivitas spionase digital, yang berpotensi merugikan individu maupun institusi secara luas.
Untuk mengurangi risiko yang ditimbulkan oleh kerentanan ini, pengguna disarankan untuk:
Melakukan pemutakhiran perangkat lunak WinRAR yang digunakan ke versi 7.11 atau yang lebih baru melalui website resmi.
Memanfaatkan alat ekstraksi ZIP bawaan Windows yang tidak terpengaruh oleh kerentanan ini.
Memastikan perangkat lunak antivirus dan Endpoint Detection and Response (EDR) selalu aktif untuk mendeteksi perilaku arsip yang mencurigakan.
Meningkatkan kesadaran keamanan dengan selalu memperbarui aplikasi yang terpasang pada perangkat, serta memastikan bahwa aplikasi yang digunakan berasal dari situs resmi.
Memantau aktivitas file yang tidak biasa terkait ekstraksi arsip, eksekusi skrip, atau koneksi eksternal setelah melakukan proses ekstraksi.