Unrar utiliidis on tuvastatud haavatavus (CVE-2022-30333), mis võimaldab spetsiaalselt loodud arhiivi lahtipakkimisel praegusest kataloogist väljaspool olevaid faile üle kirjutada, nii palju kui kasutajaõigused seda võimaldavad. Probleem lahendati RAR 6.12 ja unrar 6.1.7 väljalasetes. Haavatavus esineb Linuxi, FreeBSD ja macOS-i versioonides, kuid see ei mõjuta Androidi ja Windowsi versioone.
Probleemi põhjustab arhiivis määratud failiteedel “/..” jada nõuetekohase kontrolli puudumine, mis võimaldab lahtipakkimisel minna baaskataloogi piiridest kaugemale. Näiteks asetades arhiivi faili "../.ssh/authorized_keys", võib ründaja proovida lahtipakkimise ajal kasutaja faili "~/.ssh/authorized_keys" üle kirjutada.
Allikas: opennet.ru