In die Grails-webraamwerk, ontwerp vir die ontwikkeling van webtoepassings in ooreenstemming met die MVC-paradigma in Java, Groovy en ander tale vir die JVM, is 'n kwesbaarheid geïdentifiseer wat jou toelaat om jou kode op afstand uit te voer in die omgewing waarin die web toepassing loop. Die kwesbaarheid word uitgebuit deur 'n spesiaal vervaardigde versoek te stuur wat die aanvaller toegang tot die ClassLoader gee. Die probleem word veroorsaak deur 'n fout in die data-bindende logika, wat gebruik word wanneer objekte geskep word en wanneer dit met die hand bind met bindData. Die probleem is opgelos in vrystellings 3.3.15, 4.1.1, 5.1.9 en 5.2.1.
Daarbenewens kan ons 'n kwesbaarheid in die Ruby-module tzinfo opmerk, wat jou toelaat om die inhoud van enige lêer af te laai, so ver as wat die toegangsregte van die aangeval toepassing toelaat. Die kwesbaarheid is te wyte aan die gebrek aan behoorlike kontrolering vir die gebruik van spesiale karakters in die naam van die tydsone gespesifiseer in die TZInfo :: Timezone.get metode. Die probleem raak toepassings wat ongevalideerde eksterne data aan TZInfo::Timezone.get deurgee. Byvoorbeeld, om die lêer /tmp/payload te lees, kan jy 'n waarde soos "foo\n/../../../tmp/payload" spesifiseer.
Bron: opennet.ru