Kerentanan (CVE-2022-30333) parantos diidentifikasi dina utilitas unrar, anu ngamungkinkeun, nalika ngabongkar arsip anu dirarancang khusus, nimpa file di luar diréktori ayeuna, sajauh anu diidinan ku hak pangguna. Masalahna dibereskeun dina sékrési RAR 6.12 sareng unrar 6.1.7. Kerentanan muncul dina versi Linux, FreeBSD sareng macOS, tapi henteu mangaruhan versi Android sareng Windows.
Masalahna disababkeun ku kurangna mariksa anu leres tina "/.." sekuen dina jalur file anu ditetepkeun dina arsip, anu ngamungkinkeun unpacking ngalangkungan wates diréktori dasar. Salaku conto, ku cara nempatkeun "../.ssh/authorized_keys" dina arsip, panyerang tiasa nyobian nimpa file pangguna "~/.ssh/authorized_keys" dina waktos ngabongkar.
sumber: opennet.ru