一、 漏洞 CVE-2022-30333 基础信息
漏洞信息
# N/A
## 漏洞概述
RARLAB 在 Linux 和 UNIX 系统上的 UnRAR 版本 6.12 之前的版本存在目录遍历漏洞,该漏洞允许在解压操作期间写入任意文件,例如创建 `~/.ssh/authorized_keys` 文件。
## 影响版本
- Linux 和 UNIX 系统上的 UnRAR 版本 6.12 之前的版本
## 漏洞细节
攻击者可以利用该漏洞在目标系统的指定路径下写入文件,例如在用户的主目录下创建 `~/.ssh/authorized_keys` 文件,从而实现未经授权的访问。
## 影响
- 可以通过解压操作写入任意文件,导致潜在的权限提升问题。
- 给出的例子显示可以创建 `~/.ssh/authorized_keys` 文件,从而危及 SSH 安全。
- WinRAR 和 Android RAR 不受影响。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞允许攻击者利用路径遍历技术在解压操作过程中写入文件,如创建或修改`~/.ssh/authorized_keys`文件,这可以导致未经授权的访问或权限提升,影响Web服务的服务器端安全性。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
RARLAB UnRAR before 6.12 on Linux and UNIX allows directory traversal to write to files during an extract (aka unpack) operation, as demonstrated by creating a ~/.ssh/authorized_keys file. NOTE: WinRAR and Android RAR are unaffected.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
UnRAR 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
UnRAR是一个可解压rar后缀文件的命令。 UnRAR 6.12 之前版本存在安全漏洞,该漏洞源于允许在提取(也称为解包)操作期间目录遍历写入文件,如创建 ~/.ssh/authorized_keys 文件所示。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-30333 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/TheL1ghtVn/CVE-2022-30333-PoC | POC详情 |
| 2 | None | https://github.com/rbowes-r7/unrar-cve-2022-30333-poc | POC详情 |
| 3 | None | https://github.com/J0hnbX/CVE-2022-30333 | POC详情 |
| 4 | Zimbra unrar vulnerability. Now there are already POC available, it is safe to release our POC. | https://github.com/aslitsecurity/Zimbra-CVE-2022-30333 | POC详情 |
| 5 | None | https://github.com/paradox0909/cve-2022-30333_online_rar_extracor | POC详情 |
| 6 | None | https://github.com/tuaandatt/CVE-2022-30333---UnRAR | POC详情 |
| 7 | None | https://github.com/RakhithJK/CVE-2022-30333 | POC详情 |
三、漏洞 CVE-2022-30333 的情报信息
标题: Packet Storm -- 🔗来源链接
标签:
神龙速读:### 漏洞关键信息摘要 #### 1. **网站名称及性质** - **PacketStorm**: 网站似乎是一个安全相关的资源平台,可能涉及漏洞信息、安全工具等内容。 #### 2. **政策更新日期** - **Last updated September 12, 2025**: 表明这是一个未来的演示或者假设场景,实际应用中应注意日期的合理性。 #### 3. **适用条款** - **Agreement to Terms**: 用户通过访问和使用网站即同意使用条款。 #### 4. **用户注册与安全** - **User Registration**: 提示用户注册的必要性和账号安全的重要性。 - **Prohibited Activities**: 禁止用户进行恶意活动和滥用网站资源。 #### 5. **内容与知识产权** - **Intellectual Property Rights**: 强调网站内容和知识产权的保护。 #### 6. **责任条款** - **Limitations of Liability**: 限制了网站对于用户使用过程中可能产生的损失的法律责任。 #### 7. **法律约束** - **Governing Law**: 指定法律适用范围,适用于加利福尼亚州法律管辖。 #### 8. **争议解决** - **Dispute Resolution**: 争议解决机制,特别提到通过约束性仲裁解决争议。 --- 此摘要从服务条款核心内容提炼了关于网站安全、用户行为、知识产权、法律责任等方面的关键信息,但需要结合具体漏洞描述进一步分析具体漏洞细节。
- https://www.rarlab.com/rar_add.htm
- https://blog.sonarsource.com/zimbra-pre-auth-rce-via-unrar-0day/
- https://www.rarlab.com/rar/rarlinux-x32-612.tar.gz
- https://security.gentoo.org/glsa/202309-04vendor-advisory
- https://lists.debian.org/debian-lts-announce/2023/08/msg00022.htmlmailing-list
- https://nvd.nist.gov/vuln/detail/CVE-2022-30333
四、漏洞 CVE-2022-30333 的评论
暂无评论