በጃቫ ፣ ግሮቪ እና ሌሎች ቋንቋዎች ለ JVM በ MVC ፓራዲም መሠረት የድር መተግበሪያዎችን ለማዳበር በተዘጋጀው የግራልስ ድር ማዕቀፍ ውስጥ ኮድዎን በርቀት እንዲፈጽሙ የሚያስችልዎ ድረገጹ በሚገኝበት አካባቢ ላይ ተጋላጭነት ተለይቷል። መተግበሪያ እየሰራ ነው። ተጋላጭነቱ ለአጥቂው ክፍል ጫኝ መዳረሻ የሚሰጥ በልዩ ሁኔታ የተነደፈ ጥያቄ በመላክ ጥቅም ላይ ይውላል። ችግሩ የተፈጠረው በመረጃ ማሰሪያ አመክንዮ ላይ ባለ ጉድለት ነው፣ ይህም ዕቃዎችን ሲፈጥሩ እና bindDataን በመጠቀም በእጅ በሚታሰሩበት ጊዜ ጥቅም ላይ ይውላል። ጉዳዩ በተለቀቁት 3.3.15፣ 4.1.1፣ 5.1.9 እና 5.2.1 ውስጥ ተስተካክሏል።
በተጨማሪም፣ የተጠቃው አፕሊኬሽን የመዳረሻ መብቶች እስከሚፈቅደው ድረስ የማንኛውም ፋይል ይዘቶች መጫን የሚያስችል በ tzinfo Ruby ሞጁል ውስጥ ያለውን ተጋላጭነት ልብ ማለት እንችላለን። ተጋላጭነቱ በTZInfo :: Timezone.get ዘዴ ውስጥ በተጠቀሰው የሰዓት ሰቅ ስም ውስጥ ልዩ ቁምፊዎችን ለመጠቀም ተገቢውን ማረጋገጫ ካለማግኘት ጋር የተያያዘ ነው። ጉዳዩ ያልተረጋገጠ ውጫዊ ውሂብ ወደ TZInfo:: Timezone.get በሚያልፉ መተግበሪያዎች ላይ ተጽእኖ ይኖረዋል። ለምሳሌ ፋይሉን /tmp/payloadን ለማንበብ እንደ "foo\n/../.././tmp/payload" ያለ ዋጋ መግለጽ ይችላሉ።
ምንጭ: opennet.ru