Ġiet identifikata vulnerabbiltà (CVE-2022-30333) fl-utilità unrar, li tippermetti, meta jinfetaħ arkivju ddisinjat apposta, li jissostitwixxu fajls barra mid-direttorju attwali, safejn jippermettu d-drittijiet tal-utent. Il-kwistjoni ġiet irranġata fir-rilaxxi ta 'RAR 6.12 u unrar 6.1.7. Il-vulnerabbiltà tidher fil-verżjonijiet għal Linux, FreeBSD u macOS, iżda ma taffettwax verżjonijiet għal Android u Windows.
Il-problema hija kkawżata min-nuqqas ta 'kontroll xieraq tas-sekwenza "/.." fil-mogħdijiet tal-fajls speċifikati fl-arkivju, li jippermetti li l-ispakkjar imur lil hinn mill-konfini tad-direttorju bażi. Pereżempju, billi jpoġġi "../.ssh/authorized_keys" fl-arkivju, attakkant jista 'jipprova jikteb fuq il-fajl tal-utent "~/.ssh/authorized_keys" fil-ħin tal-unpacking.
Sors: opennet.ru