Varnarleysi (CVE-2022-30333) hefur fundist í unrar tólinu, sem gerir kleift, þegar sérhannað skjalasafn er tekið upp, að skrifa yfir skrár utan núverandi möppu, eftir því sem notendaréttindi leyfa. Vandamálið var lagað í útgáfum af RAR 6.12 og unrar 6.1.7. Varnarleysið birtist í útgáfum fyrir Linux, FreeBSD og macOS, en hefur ekki áhrif á útgáfur fyrir Android og Windows.
Vandamálið stafar af skorti á réttri athugun á "/.." röðinni í skráarslóðunum sem tilgreindar eru í skjalasafninu, sem gerir upptökunni kleift að fara út fyrir mörk grunnskrárinnar. Til dæmis, með því að setja „../.ssh/authorized_keys“ í skjalasafnið, getur árásarmaður reynt að skrifa yfir skrá notandans „~/.ssh/authorized_keys“ við upptöku.
Heimild: opennet.ru