Kerentanan (CVE-2022-30333) telah diidentifikasi dalam utilitas unrar, yang memungkinkan, ketika membongkar arsip yang dirancang khusus, untuk menimpa file di luar direktori saat ini, sejauh hak pengguna mengizinkan. Masalah ini telah diperbaiki pada rilis RAR 6.12 dan unrar 6.1.7. Kerentanan muncul di versi Linux, FreeBSD, dan macOS, tetapi tidak memengaruhi versi Android dan Windows.
Masalah ini disebabkan oleh kurangnya pemeriksaan yang tepat terhadap urutan β/..β di jalur file yang ditentukan dalam arsip, yang memungkinkan pembongkaran melampaui batas direktori dasar. Misalnya, dengan menempatkan β../.ssh/authorized_keysβ di arsip, penyerang dapat mencoba menimpa file pengguna β~/.ssh/authorized_keysβ pada saat membongkar.
Sumber: opennet.ru