Unrar utilītprogrammā ir konstatēta ievainojamība (CVE-2022-30333), kas ļauj, izpakojot īpaši veidotu arhīvu, pārrakstīt failus ārpus pašreizējā direktorija, ciktāl to atļauj lietotāja tiesības. Problēma tika novērsta RAR 6.12 un unrar 6.1.7 laidienos. Ievainojamība parādās operētājsistēmām Linux, FreeBSD un macOS, taču tā neietekmē Android un Windows versijas.
Problēmu rada tas, ka arhīvā norādītajos failu ceļos netiek pareizi pārbaudīta “/..” secība, kas ļauj izsaiņošanai iziet ārpus bāzes direktorija robežām. Piemēram, ievietojot arhīvā “../.ssh/authorized_keys”, uzbrucējs var mēģināt pārrakstīt lietotāja failu “~/.ssh/authorized_keys” izpakošanas laikā.
Avots: opennet.ru