Bij het uitpakken van een bestand kunnen eerdere versies van WinRAR, Windows-versies van RAR, UnRAR, de draagbare UnRAR-broncode en UnRAR.dll misleid worden om een pad te gebruiken dat is gedefinieerd in een speciaal vervaardigd archiefbestand, in plaats van het pad dat door de gebruiker is opgegeven.

Unix-versies van RAR, UnRAR, draagbare UnRAR-broncode en de UnRAR-bibliotheek, evenals RAR voor Android, zijn niet getroffen.

We zijn dankbaar aan whs3-detonator, die samenwerkt met Trend Micro Zero Day Initiative, voor het onder onze aandacht brengen van dit beveiligingsprobleem.

Voorheen bevatte de opdracht "Rapport genereren" bestandsnamen uit het archief letterlijk in het HTML-rapport, waardoor het mogelijk was om potentieel onveilige HTML-tags in het rapport te injecteren. Om dergelijke injectie te voorkomen, vervangt de huidige versie de tekens < en > in bestandsnamen met respectievelijk &lt; en &gt; in het HTML-rapport.

We zijn Marcin Bobryk (github.com/MarcinB44) dankbaar voor het onder de aandacht brengen van dit beveiligingsprobleem.

Als de opties "Geteste archiefbestanden" en "Herstelvolumes" samen worden gebruikt bij het archiveren, worden de herstelvolumes nu ook getest. In eerdere versies werd de test voltooid voordat de herstelvolumes werden aangemaakt, waardoor deze niet werden geverifieerd.

Nanoseconde-bestandstijdprecisie wordt behouden voor Unix-bestandsrecords bij het wijzigen van een RAR-archief in Windows. Voorheen werd deze precisie geconverteerd naar de Windows-standaard van 100 nanoseconden.