Sa Grails web framework, nga gidisenyo alang sa pagpalambo sa mga aplikasyon sa web uyon sa MVC paradigm sa Java, Groovy ug uban pang mga pinulongan alang sa JVM, usa ka kahuyang ang giila nga nagtugot kanimo sa layo nga pagpatuman sa imong code sa palibot diin ang web nagdagan ang aplikasyon. Ang pagkahuyang gipahimuslan pinaagi sa pagpadala sa usa ka espesyal nga gimugna nga hangyo nga naghatag sa tig-atake og access sa ClassLoader. Ang problema tungod sa usa ka sayup sa data-binding logic, nga gigamit sa paghimo sa mga butang ug kung mano-mano nga nagbugkos gamit ang bindData. Ang isyu nasulbad sa mga pagpagawas sa 3.3.15, 4.1.1, 5.1.9, ug 5.2.1.
Dugang pa, atong mamatikdan ang usa ka kahuyang sa Ruby module tzinfo, nga nagtugot kanimo sa pag-download sa mga sulod sa bisan unsang file, kutob sa gitugot sa mga katungod sa pag-access sa giatake nga aplikasyon. Ang pagkahuyang tungod sa kakulang sa tukma nga pagsusi alang sa paggamit sa mga espesyal nga karakter sa ngalan sa time zone nga gipiho sa TZInfo:: Timezone.get nga pamaagi. Ang isyu makaapekto sa mga aplikasyon nga nagpasa sa dili balido nga eksternal nga datos ngadto sa TZInfo::Timezone.get. Pananglitan, aron mabasa ang file /tmp/payload, mahimo nimong itakda ang kantidad sama sa "foo\n/../../../tmp/payload".
Source: opennet.ru