Vulnerabileco (CVE-2022-30333) estis identigita en la unrar-utilo, kiu ebligas, dum malpakado de speciale desegnita arkivo, anstataŭigi dosierojn ekster la nuna dosierujo, laŭ la uzantrajtoj permesas. La problemo estis riparita en la eldonoj de RAR 6.12 kaj unrar 6.1.7. La vundebleco aperas en versioj por Linukso, FreeBSD kaj macOS, sed ne influas versiojn por Android kaj Vindozo.
La problemo estas kaŭzita de la manko de taŭga kontrolo de la "/.." sekvenco en la dosiervojoj specifitaj en la arkivo, kio permesas al la malpakaĵo iri preter la limoj de la baza dosierujo. Ekzemple, metante "../.ssh/authorized_keys" en la arkivon, atakanto povas provi anstataŭigi la dosieron de la uzanto "~/.ssh/authorized_keys" en la momento de malpakado.
fonto: opennet.ru