En sårbarhet (CVE-2022-30333) er identifisert i unrar-verktøyet, som tillater, når du pakker ut et spesialdesignet arkiv, å overskrive filer utenfor gjeldende katalog, så langt brukerrettighetene tillater det. Problemet ble løst i utgivelsene av RAR 6.12 og unrar 6.1.7. Sårbarheten vises i versjoner for Linux, FreeBSD og macOS, men påvirker ikke versjoner for Android og Windows.
Problemet er forårsaket av mangelen på riktig kontroll av "/.."-sekvensen i filbanene som er spesifisert i arkivet, som gjør at utpakkingen kan gå utover grensene til basiskatalogen. For eksempel, ved å plassere "../.ssh/authorized_keys" i arkivet, kan en angriper prøve å overskrive brukerens fil "~/.ssh/authorized_keys" på tidspunktet for utpakking.
Kilde: opennet.ru