Se ha identificado una vulnerabilidad (CVE-2022-30333) en la utilidad unrar, que permite, al descomprimir un archivo especialmente diseñado, sobrescribir archivos fuera del directorio actual, en la medida en que lo permitan los derechos del usuario. El problema se solucionó en las versiones de RAR 6.12 y unrar 6.1.7. La vulnerabilidad aparece en las versiones para Linux, FreeBSD y macOS, pero no afecta a las versiones para Android y Windows.
El problema se debe a la falta de una verificación adecuada de la secuencia "/.." en las rutas de archivo especificadas en el archivo, lo que permite que el descomprimido vaya más allá de los límites del directorio base. Por ejemplo, al colocar "../.ssh/authorized_keys" en el archivo, un atacante puede intentar sobrescribir el archivo del usuario "~/.ssh/authorized_keys" en el momento de descomprimirlo.
Fuente: opennet.ru