1. 描述UnRAR二进制文件中的路径遍历漏洞（CVE-2022-30333） 在github 公布项目poc中(地址：https://github.com/TheL1ghtVn/CVE-2022-30333-PoC)，存在rar的poc。 通过winhex打开可见，一个rar中存在俩个同名为，sym的文件夹查询资料，得到构造…

0x01 前奏本文作者RG@M78sec，感谢团队师傅投稿前不久在挖掘某SRC时提交漏洞时，偶然在该SRC官网的编辑器发现了一个接口。起初以为是任意文件包含能RCE了，后来测试发现只是拼接读取了远程资源站的图片，原本都想着放弃了但是当我在后缀添加了个+号后图片被意外的解析成了HTML页面，这不就意味着get到一个存储型XSS？…