Kerentanan (CVE-2022-30333) telah dikenal pasti dalam utiliti unrar, yang membolehkan, apabila membongkar arkib yang direka khas, untuk menulis ganti fail di luar direktori semasa, setakat yang dibenarkan oleh hak pengguna. Isu ini telah dibetulkan dalam keluaran RAR 6.12 dan unrar 6.1.7. Kerentanan muncul dalam versi untuk Linux, FreeBSD dan macOS, tetapi tidak menjejaskan versi untuk Android dan Windows.
Masalahnya disebabkan oleh kekurangan pemeriksaan yang betul bagi jujukan "/.." dalam laluan fail yang ditentukan dalam arkib, yang membolehkan pembongkaran melangkaui sempadan direktori asas. Sebagai contoh, dengan meletakkan "../.ssh/authorized_keys" dalam arkib, penyerang boleh cuba menimpa fail pengguna "~/.ssh/authorized_keys" pada masa membongkar.
Sumber: opennet.ru