V pripomočku unrar je bila ugotovljena ranljivost (CVE-2022-30333), ki omogoča, da pri razpakiranju posebej oblikovanega arhiva prepišete datoteke zunaj trenutnega imenika, kolikor to dovoljujejo uporabniške pravice. Težava je bila odpravljena v izdajah RAR 6.12 in unrar 6.1.7. Ranljivost se pojavlja v različicah za Linux, FreeBSD in macOS, vendar ne vpliva na različice za Android in Windows.
Težavo povzroča pomanjkanje ustreznega preverjanja zaporedja »/..« v poteh datotek, določenih v arhivu, kar omogoča, da razpakiranje preseže meje osnovnega imenika. Na primer, s postavitvijo »../.ssh/authorized_keys« v arhiv lahko napadalec poskusi prepisati uporabnikovo datoteko »~/.ssh/authorized_keys« v času razpakiranja.
Vir: opennet.ru