Арнайы әзірленген мұрағатты қаптамадан шығарған кезде пайдаланушы құқықтары рұқсат етсе, ағымдағы каталогтан тыс файлдарды қайта жазуға мүмкіндік беретін unrar утилитасында (CVE-2022-30333) осалдық анықталды. Мәселе RAR 6.12 және unrar 6.1.7 шығарылымдарында түзетілді. Осалдық Linux, FreeBSD және macOS нұсқаларында көрінеді, бірақ Android және Windows құрастыруларына әсер етпейді.
Мәселе мұрағатта көрсетілген файл жолдарындағы «/..» тізбегін дұрыс тексерудің болмауынан туындайды, бұл қаптаманы ашу кезінде негізгі каталогтың шекарасынан шығуға мүмкіндік береді. Мысалы, мұрағатқа "../.ssh/authorized_keys" қою арқылы зиянкес "~/.ssh/authorized_keys" пайдаланушы файлын қаптамадан шығару кезінде қайта жазуға әрекеттенуі мүмкін.
Ақпарат көзі: opennet.ru