Идентификована је рањивост (ЦВЕ-2022-29154) у рсинц, услужном програму за синхронизацију датотека и резервне копије, који омогућава да се произвољне датотеке у циљном директоријуму уписују или преписују на страни корисника када приступају рсинц серверу који контролише нападач. Потенцијално, напад се такође може извести као резултат ометања (МИТМ) транзитног саобраћаја између клијента и легитимног сервера. Проблем је решен у тестном издању Рсинц 3.2.5пре1.
Рањивост подсећа на претходне проблеме у СЦП-у и такође је узрокована тиме што сервер доноси одлуку о локацији датотеке која ће бити уписана, а клијент не проверава правилно шта сервер враћа са оним што је тражено, дозвољавајући серверу да писати датотеке које клијент није првобитно захтевао. На пример, ако корисник копира датотеке у кућни директоријум, сервер може да врати датотеке под називом .басх_алиасес или .ссх/аутхоризед_кеис уместо захтеваних датотека и оне ће бити ускладиштене у корисниковом кућном директоријуму.
Извор: опеннет.ру