Unrar-apuohjelmassa on havaittu haavoittuvuus (CVE-2022-30333), joka sallii, kun erityisesti suunniteltua arkistoa puretaan, nykyisen hakemiston ulkopuolella olevien tiedostojen korvaamisen käyttäjän oikeuksien salliessa. Ongelma korjattiin RAR 6.12- ja unrar 6.1.7 -julkaisuissa. Haavoittuvuus esiintyy Linux-, FreeBSD- ja macOS-versioissa, mutta se ei vaikuta Android- ja Windows-versioihin.
Ongelma johtuu siitä, että arkistossa määritetyissä tiedostopoluissa "/.."-sekvenssiä ei ole tarkistettu kunnolla, mikä mahdollistaa pakkauksen purkamisen perushakemiston rajojen ulkopuolelle. Esimerkiksi sijoittamalla "../.ssh/authorized_keys" arkistoon, hyökkääjä voi yrittää ylikirjoittaa käyttäjän tiedoston "~/.ssh/authorized_keys" pakkauksen purkamisen yhteydessä.
Lähde: opennet.ru