unrar ユーティリティ (CVE-2022-30333) に脆弱性が確認されました。この脆弱性により、特別に設計されたアーカイブを解凍するときに、ユーザー権限が許可する限り、現在のディレクトリの外にあるファイルを上書きできます。 この問題は、RAR 6.12 および unrar 6.1.7 リリースで修正されました。 この脆弱性は Linux、FreeBSD、macOS バージョンで発生しますが、Android および Windows ビルドには影響しません。
この問題は、アーカイブで指定されたファイル パス内の「/..」シーケンスが適切にチェックされていないことが原因で発生します。このため、解凍時にベース ディレクトリの境界を越えることができます。 たとえば、「../.ssh/authorized_keys」をアーカイブに置くことで、攻撃者は解凍時にユーザーファイル「~/.ssh/authorized_keys」を上書きしようとする可能性があります。
出所: オープンネット.ru