ተጋላጭነት (CVE-2022-30333) በአራር መገልገያ ውስጥ ተለይቷል፣ ይህም በልዩ ሁኔታ የተነደፈ ማህደር ሲፈታ የተጠቃሚ መብቶች እስከሚፈቅደው ድረስ ፋይሎችን ከአሁኑ ማውጫ ውጭ ለመፃፍ ያስችላል። ችግሩ በ RAR 6.12 እና unrar 6.1.7 እትሞች ላይ ተስተካክሏል። ተጋላጭነቱ በሊኑክስ፣ ፍሪቢኤስዲ እና ማክሮስ ስሪቶች ላይ ይታያል፣ ነገር ግን የአንድሮይድ እና የዊንዶውስ ስሪቶችን አይነካም።
ችግሩ የተከሰተው በማህደሩ ውስጥ በተገለጹት የፋይል ዱካዎች ውስጥ ያለውን የ "/..." ቅደም ተከተል በትክክል አለመፈተሽ ነው, ይህም ማሸጊያው ከመሠረታዊ ማውጫው ወሰን በላይ እንዲሄድ ያስችለዋል. ለምሳሌ፣ "../.ssh/authorized_keys"ን በማህደሩ ውስጥ በማስቀመጥ አጥቂው በሚፈታበት ጊዜ የተጠቃሚውን ፋይል "~/.ssh/authorized_keys" ለመፃፍ መሞከር ይችላል።
ምንጭ: opennet.ru