'n Kwesbaarheid (CVE-2022-30333) is geïdentifiseer in die unrar-nutsding, wat dit moontlik maak om, wanneer 'n spesiaal ontwerpte argief uitgepak word, lêers buite die huidige gids te oorskryf, so ver as wat gebruikersregte dit toelaat. Die probleem is opgelos in die vrystellings van RAR 6.12 en unrar 6.1.7. Die kwesbaarheid verskyn in weergawes vir Linux, FreeBSD en macOS, maar beïnvloed nie weergawes vir Android en Windows nie.
Die probleem word veroorsaak deur die gebrek aan behoorlike kontrolering van die "/.."-volgorde in die lêerpaaie wat in die argief gespesifiseer is, wat die uitpak toelaat om buite die grense van die basisgids te gaan. Byvoorbeeld, deur "../.ssh/authorized_keys" in die argief te plaas, kan 'n aanvaller probeer om die gebruiker se lêer "~/.ssh/authorized_keys" te oorskryf ten tyde van uitpak.
Bron: opennet.ru