Identificouse unha vulnerabilidade (CVE-2022-30333) na utilidade unrar, que permite, ao desempaquetar un arquivo especialmente deseñado, sobrescribir ficheiros fóra do directorio actual, na medida en que o permitan os dereitos do usuario. O problema solucionouse nas versións de RAR 6.12 e unrar 6.1.7. A vulnerabilidade aparece nas versións para Linux, FreeBSD e macOS, pero non afecta ás versións para Android e Windows.
O problema é causado pola falta de comprobación adecuada da secuencia “/..” nas rutas de ficheiros especificadas no arquivo, o que permite que o desempaquetado vaia máis aló dos límites do directorio base. Por exemplo, ao colocar "../.ssh/authorized_keys" no arquivo, un atacante pode tentar sobrescribir o ficheiro do usuario "~/.ssh/authorized_keys" no momento de desempaquetar.
Fonte: opennet.ru