Unrar yordam dasturida zaiflik (CVE-2022-30333) aniqlandi, bu maxsus mo'ljallangan arxivni ochishda foydalanuvchi huquqlari imkon qadar joriy katalogdan tashqaridagi fayllarni qayta yozish imkonini beradi. Muammo RAR 6.12 va unrar 6.1.7 versiyalarida tuzatildi. Zaiflik Linux, FreeBSD va macOS versiyalarida paydo bo‘ladi, lekin Android va Windows versiyalariga ta’sir qilmaydi.
Muammo arxivda ko'rsatilgan fayl yo'llaridagi "/.." ketma-ketligini to'g'ri tekshirilmaganligi sababli yuzaga keladi, bu esa o'rashni asosiy katalog chegaralaridan tashqariga chiqishga imkon beradi. Masalan, arxivga “../.ssh/authorized_keys” ni qo‘yish orqali tajovuzkor foydalanuvchining “~/.ssh/authorized_keys” faylini ochish vaqtida uning ustiga yozishga urinishi mumkin.
Manba: opennet.ru