Natukoy ang isang kahinaan (CVE-2022-30333) sa unrar na utility, na nagbibigay-daan, kapag nag-unpack ng isang espesyal na idinisenyong archive, na i-overwrite ang mga file sa labas ng kasalukuyang direktoryo, hangga't pinapayagan ng mga karapatan ng user. Naayos ang isyu sa mga release ng RAR 6.12 at unrar 6.1.7. Lumalabas ang kahinaan sa mga bersyon para sa Linux, FreeBSD at macOS, ngunit hindi nakakaapekto sa mga bersyon para sa Android at Windows.
Ang problema ay sanhi ng kakulangan ng wastong pagsusuri ng β/..β sequence sa mga path ng file na tinukoy sa archive, na nagpapahintulot sa pag-unpack na lumampas sa mga hangganan ng base directory. Halimbawa, sa pamamagitan ng paglalagay ng "../.ssh/authorized_keys" sa archive, maaaring subukan ng isang attacker na i-overwrite ang file ng user na "~/.ssh/authorized_keys" sa oras ng pag-unpack.
Pinagmulan: opennet.ru