Εντοπίστηκε ένα θέμα ευπάθειας (CVE-2022-30333) στο βοηθητικό πρόγραμμα unrar, το οποίο επιτρέπει, κατά την αποσυσκευασία ενός ειδικά σχεδιασμένου αρχείου, την αντικατάσταση αρχείων εκτός του τρέχοντος καταλόγου, στο βαθμό που το επιτρέπουν τα δικαιώματα χρήστη. Το πρόβλημα διορθώθηκε στις εκδόσεις RAR 6.12 και unrar 6.1.7. Η ευπάθεια εμφανίζεται σε εκδόσεις για Linux, FreeBSD και macOS, αλλά δεν επηρεάζει τις εκδόσεις για Android και Windows.
Το πρόβλημα προκαλείται από την έλλειψη σωστού ελέγχου της ακολουθίας "/.." στις διαδρομές αρχείων που καθορίζονται στο αρχείο, κάτι που επιτρέπει στην αποσυσκευασία να υπερβεί τα όρια του βασικού καταλόγου. Για παράδειγμα, τοποθετώντας το "../.ssh/authorized_keys" στο αρχείο, ένας εισβολέας μπορεί να προσπαθήσει να αντικαταστήσει το αρχείο "~/.ssh/authorized_keys" του χρήστη κατά τη στιγμή της αποσυσκευασίας.
Πηγή: opennet.ru