「WinRAR」に脆弱性、過去の問題に類似 - 修正版をリリース
ファイルアーカイブソフト「WinRAR」にあらたな脆弱性が判明したとし、現地時間2026年6月30日にセキュリティアップデートがリリースされた。サードパーティ製ライブラリの更新も行っている。
「CVE-2026-14191」は、「RAR5」における「復旧ボリュームファイル(.rev)」の解析処理に確認された脆弱性。過去に修正された「CVE-2023-40477」と類似した問題だという。
復旧やテスト処理において、複数の細工されたファイルを処理すると、域外に書き込みを行い、メモリ破壊が生じるおそれがある。「WinRAR」「RAR」「UnRAR」に影響するが、ライブラリ「UnRAR.dll」については影響を受けない。
攻撃にはローカル環境において利用者による操作が必要であり、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.8」、重要度は4段階中2番目に高い「高(High)」とレーティングされている。
あわせて細工されたRARアーカイブを展開した場合に、本来の出力先とは異なるフォルダを指すシンボリックリンクが作成されるパストラバーサルの脆弱性も判明した。
同社はこれら問題に対処した「WinRAR 7.23」を公開。「7zアーカイブ」の展開に用いる「7zxa.dll」についても「同26.02」へと更新した。
(Security NEXT - 2026/07/06 )
ツイート
関連リンク
PR
関連記事
「FortiOS」のLDAP認証バイパス脆弱性、仮想パッチが公開
「FortiOS」に複数脆弱性、SSL-VPNなど影響 - アップデートで修正
HTTP通信ライブラリ「Apache HttpComponents」に複数のDoS脆弱性
ウェブメール「Roundcube」、アップデートで複数脆弱性を修正
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
マルウェア対策ソフト「ClamAV」に複数脆弱性 - Cisco製品にも影響
