Identifikovana je ranjivost (CVE-2022-30333) u uslužnom programu unrar, koji omogućava, prilikom raspakivanja posebno dizajnirane arhive, prepisivanje datoteka izvan trenutnog direktorijuma, koliko to dozvoljavaju korisnička prava. Problem je riješen u izdanjima RAR 6.12 i unrar 6.1.7. Ranjivost se pojavljuje u verzijama za Linux, FreeBSD i macOS, ali ne utiče na verzije za Android i Windows.
Problem je uzrokovan nedostatkom pravilne provjere “/..” sekvence u putanjama fajlova navedenim u arhivi, što omogućava da raspakivanje izađe izvan granica osnovnog direktorija. Na primjer, postavljanjem “../.ssh/authorized_keys” u arhivu, napadač može pokušati da prepiše korisnikov fajl “~/.ssh/authorized_keys” u trenutku raspakivanja.
izvor: opennet.ru