În utilitarul unrar a fost identificată o vulnerabilitate (CVE-2022-30333), care permite, la despachetarea unei arhive special concepute, să se suprascrie fișiere în afara directorului curent, în măsura în care drepturile utilizatorului permit. Problema a fost remediată în versiunile RAR 6.12 și unrar 6.1.7. Vulnerabilitatea apare în versiunile pentru Linux, FreeBSD și macOS, dar nu afectează versiunile pentru Android și Windows.
Problema este cauzată de lipsa verificării corespunzătoare a secvenței „/..” în căile de fișiere specificate în arhivă, ceea ce permite dezambalarea să depășească limitele directorului de bază. De exemplu, plasând „../.ssh/authorized_keys” în arhivă, un atacator poate încerca să suprascrie fișierul utilizatorului „~/.ssh/authorized_keys” în momentul despachetării.
Sursa: opennet.ru