En el framework web Grails, dissenyat per desenvolupar aplicacions web d'acord amb el paradigma MVC en Java, Groovy i altres llenguatges per a la JVM, s'ha identificat una vulnerabilitat que permet executar de forma remota el teu codi en l'entorn en què es troba la web. s'està executant l'aplicació. La vulnerabilitat s'aprofita enviant una sol·licitud especialment dissenyada que dóna accés a l'atacant al ClassLoader. El problema és causat per una fallada en la lògica d'enllaç de dades, que s'utilitza tant quan es creen objectes com quan s'enllaça manualment amb bindData. El problema es va resoldre a les versions 3.3.15, 4.1.1, 5.1.9 i 5.2.1.
A més, podem observar una vulnerabilitat en el mòdul Ruby tzinfo, que permet descarregar el contingut de qualsevol fitxer, en la mesura que ho permetin els drets d'accés de l'aplicació atacada. La vulnerabilitat es deu a la manca de comprovació adequada de l'ús de caràcters especials en el nom de la zona horària especificada al mètode TZInfo::Timezone.get. El problema afecta les aplicacions que passen dades externes no validades a TZInfo::Timezone.get. Per exemple, per llegir el fitxer /tmp/payload, podeu especificar un valor com "foo\n/../../../tmp/payload".
Font: opennet.ru