En sårbarhed (CVE-2022-30333) er blevet identificeret i unrar-værktøjet, som gør det muligt, ved udpakning af et specialdesignet arkiv, at overskrive filer uden for den aktuelle mappe, så vidt brugerrettigheder tillader det. Problemet blev rettet i udgivelserne af RAR 6.12 og unrar 6.1.7. Sårbarheden optræder i versioner til Linux, FreeBSD og macOS, men påvirker ikke versioner til Android og Windows.
Problemet er forårsaget af manglen på korrekt kontrol af "/.."-sekvensen i filstierne specificeret i arkivet, hvilket gør det muligt for udpakningen at gå ud over grænserne for basismappen. For eksempel, ved at placere "../.ssh/authorized_keys" i arkivet, kan en angriber forsøge at overskrive brugerens fil "~/.ssh/authorized_keys" på tidspunktet for udpakningen.
Kilde: opennet.ru