Unrar programoje aptiktas pažeidžiamumas (CVE-2022-30333), leidžiantis, išpakuojant specialiai sukurtą archyvą, perrašyti failus už dabartinio katalogo ribų, kiek leidžia vartotojo teisės. Problema buvo išspręsta RAR 6.12 ir unrar 6.1.7 leidimuose. Pažeidžiamumas atsiranda „Linux“, „FreeBSD“ ir „MacOS“ versijose, tačiau neturi įtakos „Android“ ir „Windows“ versijoms.
Problema kyla dėl to, kad archyve nurodytuose failų keliuose nėra tinkamai patikrinta „/..“ seka, todėl išpakavimas leidžia peržengti bazinio katalogo ribas. Pavyzdžiui, į archyvą įdėjęs „../.ssh/authorized_keys“, užpuolikas gali bandyti perrašyti vartotojo failą „~/.ssh/authorized_keys“ išpakavimo metu.
Šaltinis: opennet.ru