Initializing, please wait a moment

WinRAR corrige una falla de heap-overflow en los archivos de recuperacion RAR5

WinRAR 7.23, publicado el 30 de junio de 2026, corrige una falla de heap-overflow (CVE-2026-14191) en la forma en que la aplicacion repara archivos RAR5 multivolumen. La falla necesita un archivo .rev de recuperacion manipulado mas una accion de reparacion para activarse, y como WinRAR no tiene actualizacion automatica, la correccion solo te llega cuando descargas la version 7.23 por tu cuenta.

Last reviewed: 2026-07-08



Que paso

RARLAB lanzo WinRAR 7.23 el 30 de junio de 2026, cerrando una falla de heap-overflow que el investigador Arjun Basnet, de Securin Labs, reporto en el codigo que reconstruye un archivo multivolumen danado a partir de volumenes de recuperacion RAR5 (archivos .rev). Un archivo .rev posterior en el conjunto puede declarar un numero de registro que el codigo nunca verifica contra el buffer que WinRAR ya reservo, permitiendo que un archivo manipulado escriba datos controlados por el atacante mas alla del final de ese buffer. RARLAB lo describe como una variante de una falla de 2023 (CVE-2023-40477) que en su momento se corrigio solo en el formato RAR3 mas antiguo - el RAR5 quedo expuesto hasta esta version. UnRAR.dll no esta afectada, ya que esa biblioteca nunca procesa volumenes de recuperacion; WinRAR, las herramientas de linea de comandos RAR/UnRAR y RAR para Android heredaron la correccion.

Explotarla exige mas que abrir un archivo: hay que ejecutar "Repair archive," una prueba unrar t, o la recuperacion automatica que WinRAR intenta en un conjunto incompleto, contra un archivo enviado con un .rev preparado. La gravedad es CVSS 7.8; los rastreadores no listan codigo de explotacion publico ni uso confirmado en el mundo real hasta ahora - a diferencia de una falla anterior, ya corregida, de WinRAR que los atacantes siguieron explotando durante meses porque muchas instalaciones nunca se actualizaron.

ElementoDetalle
AfectadoWinRAR, herramientas de linea de comandos RAR y UnRAR (hasta la version 7.22)
No afectadoUnRAR.dll (no procesa volumenes de recuperacion)
Corregido enWinRAR 7.23 (30 de junio de 2026)
ActivadorOperacion de reparacion o prueba en un conjunto RAR5 multivolumen + .rev manipulado
Revisa los cuatro aspectos de la falla de recuperacion RAR5: versiones afectadas, no afectadas, correccion en WinRAR 7.23 y activador.
Cuatro aspectos de la falla de recuperacion RAR5 de un vistazo.

Por que esto importa para tus archivos del dia a dia

Los volumenes de recuperacion son archivos .rev opcionales que algunas herramientas de compresion agregan para que un conjunto RAR multiparte pueda reconstruirse si una parte se pierde o se corrompe. La mayoria de las personas nunca los toca directamente, pero igual viajan dentro de copias de seguridad antiguas y archivos que alguien te reenvia. Filtrar por extension de archivo no detiene esto: la carga vive dentro de un archivo .rev de apariencia normal, y una puerta que solo verifica "es un .zip o un .rar" deja pasar a ese archivo hermano. WinRAR tampoco tiene actualizacion automatica, asi que una correccion publicada hoy puede quedar sin aplicarse indefinidamente a menos que alguien la instale a mano.


Que hacer con tus archivos ahora

  • Actualiza WinRAR de escritorio a mano. Revisa tu version en "About WinRAR" y descarga la 7.23 o mas reciente desde el sitio oficial si estas atrasado - la correccion no llega por si sola.
  • Evita reparar conjuntos multivolumen inesperados. Si un paquete .rar/.r00/.rev llega de alguien inesperado, no ejecutes "Repair archive" ni una prueba de recuperacion en el hasta poder verificar al remitente.
  • Usa una herramienta en el navegador para ZIP simple. Extraer o crear un archivo - no reparar un conjunto RAR danado - funciona en el descompresor ZIP online y el creador de ZIP online, sin instalar nada.
  • Todavia necesitas RAR o 7z? La guia de enrutamiento para extraer archivos muestra la opcion mas segura por formato; la comparacion de formatos de archivo explica por que RAR necesita una aplicacion dedicada y ZIP no.
Actualiza WinRAR, evita reparaciones desconocidas, usa ZIP online o consulta la guia de enrutamiento.
Cuatro acciones para tomar ahora con tus archivos comprimidos.

Sources

← Volver a Noticias

Loading reviews...