V obslužném programu unrar byla identifikována zranitelnost (CVE-2022-30333), která umožňuje při rozbalování speciálně navrženého archivu přepisovat soubory mimo aktuální adresář, pokud to uživatelská práva dovolují. Problém byl opraven ve vydáních RAR 6.12 a unrar 6.1.7. Chyba zabezpečení se objevuje ve verzích pro Linux, FreeBSD a macOS, ale neovlivňuje verze pro Android a Windows.
Problém je způsoben nedostatečnou kontrolou sekvence „/..“ v cestách k souboru specifikovaným v archivu, což umožňuje rozbalení jít za hranice základního adresáře. Například umístěním „../.ssh/authorized_keys“ do archivu se útočník může pokusit přepsat uživatelův soubor „~/.ssh/authorized_keys“ v době rozbalení.
Zdroj: opennet.ru