В утилите unrar выявлена уязвимость (CVE-2022-30333), позволяющая при распаковке специально оформленного архива перезаписать файлы вне текущего каталога, насколько это позволяют права пользователя. Проблема устранена в выпусках RAR 6.12 и unrar 6.1.7. Уязвимость проявляется в версиях для Linux, FreeBSD и macOS, но не затрагивает сборки для Android и Windows.
Проблема вызвана отсутствием должной проверки последовательности "/.." в файловых путях, указанных в архиве, что позволяет при распаковке выйти за границы базового каталога. Например, разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" в момент распаковки.
Проблема вызвана отсутствием должной проверки последовательности "/.." в файловых путях, указанных в архиве, что позволяет при распаковке выйти за границы базового каталога. Например, разместив в архиве "../.ssh/authorized_keys" атакующий может попытаться перезаписать файл пользователя "~/.ssh/authorized_keys" в момент распаковки.