Уязвимости в уеб рамката на Grails и модула TZInfo Ruby

В уеб рамката на Grails, предназначена за разработване на уеб приложения в съответствие с MVC парадигмата в Java, Groovy и други езици за JVM, е идентифицирана уязвимост, която ви позволява отдалечено да изпълнявате своя код в средата, в която уеб приложението работи. Уязвимостта се използва чрез изпращане на специално изработена заявка, която дава на атакуващия достъп до ClassLoader. Проблемът е причинен от грешка в логиката за обвързване на данни, която се използва както при създаване на обекти, така и при ръчно обвързване с помощта на bindData. Проблемът беше разрешен във версии 3.3.15, 4.1.1, 5.1.9 и 5.2.1.

Допълнително можем да отбележим уязвимост в Ruby модула tzinfo, който ви позволява да изтеглите съдържанието на всеки файл, доколкото правата за достъп на атакуваното приложение позволяват. Уязвимостта се дължи на липсата на правилна проверка за използването на специални знаци в името на часовата зона, посочена в метода TZInfo::Timezone.get. Проблемът засяга приложения, които предават непроверени външни данни на TZInfo::Timezone.get. Например, за да прочетете файла /tmp/payload, можете да посочите стойност като "foo\n/../../../tmp/payload".

Източник: opennet.ru