Unrar կոմունալում հայտնաբերվել է խոցելիություն (CVE-2022-30333), որը թույլ է տալիս հատուկ նախագծված արխիվը բացելիս ֆայլերը վերագրել ընթացիկ գրացուցակից դուրս, այնքանով, որքանով դա թույլ է տալիս օգտվողի իրավունքները: Խնդիրը շտկվել է RAR 6.12 և unrar 6.1.7 թողարկումներում: Խոցելիությունը հայտնվում է Linux-ի, FreeBSD-ի և macOS-ի տարբերակներում, սակայն չի ազդում Android-ի և Windows-ի տարբերակների վրա:
Խնդիրն առաջանում է արխիվում նշված ֆայլերի ուղիներում «/.» հաջորդականության պատշաճ ստուգման բացակայության պատճառով, ինչը թույլ է տալիս ապափաթեթավորումը դուրս գալ բազային գրացուցակի սահմաններից: Օրինակ՝ տեղադրելով «../.ssh/authorized_keys» արխիվում՝ հարձակվողը կարող է փորձել վերագրել օգտատիրոջ «~/.ssh/authorized_keys» ֆայլը փաթեթավորումից հանելու պահին:
Source: opennet.ru