Nell'utilità unrar è stata identificata una vulnerabilità (CVE-2022-30333) che consente, quando si decomprime un archivio appositamente progettato, di sovrascrivere file all'esterno della directory corrente, per quanto consentito dai diritti dell'utente. Il problema è stato risolto nelle versioni RAR 6.12 e unrar 6.1.7. La vulnerabilità appare nelle versioni per Linux, FreeBSD e macOS, ma non interessa le versioni per Android e Windows.
Il problema è causato dalla mancanza di un controllo adeguato della sequenza “/..” nei percorsi dei file specificati nell'archivio, che consente all'unpacking di oltrepassare i limiti della directory di base. Ad esempio, inserendo "../.ssh/authorized_keys" nell'archivio, un utente malintenzionato può tentare di sovrascrivere il file dell'utente "~/.ssh/authorized_keys" al momento della decompressione.
Fonte: opennet.ru