U Grails web okviru, dizajniranom za razvoj web aplikacija u skladu s MVC paradigmom u Javi, Groovy i drugim jezicima za JVM, identificirana je ranjivost koja vam omogućava daljinski izvršavanje koda u okruženju u kojem je web aplikacija radi. Ranjivost se iskorištava slanjem posebno kreiranog zahtjeva koji napadaču daje pristup ClassLoaderu. Problem je uzrokovan nedostatkom u logici povezivanja podataka, koja se koristi i pri kreiranju objekata i prilikom ručnog povezivanja pomoću bindData. Problem je riješen u izdanjima 3.3.15, 4.1.1, 5.1.9 i 5.2.1.
Dodatno, možemo primijetiti ranjivost u Ruby modulu tzinfo, koji vam omogućava preuzimanje sadržaja bilo kojeg fajla, u mjeri u kojoj to dozvoljavaju prava pristupa napadnute aplikacije. Ranjivost je uzrokovana nedostatkom odgovarajuće provjere za korištenje posebnih znakova u nazivu vremenske zone navedene u metodi TZInfo::Timezone.get. Problem utječe na aplikacije koje prosljeđuju nepotvrđene vanjske podatke u TZInfo::Timezone.get. Na primjer, da biste pročitali datoteku /tmp/payload, možete navesti vrijednost poput "foo\n/../../../tmp/payload".
izvor: opennet.ru