In u quadru web Grails, cuncepitu per sviluppà applicazioni web in cunfurmità cù u paradigma MVC in Java, Groovy è altre lingue per a JVM, hè stata identificata una vulnerabilità chì vi permette di eseguisce remotamente u vostru codice in l'ambiente in u quale u web. l'applicazione hè in esecuzione. A vulnerabilità hè sfruttata mandendu una dumanda apposta chì dà l'attaccante accessu à u ClassLoader. U prublema hè causatu da un difettu in a logica di ubligatoriu di dati, chì hè utilizatu sia quandu creanu l'uggetti è quandu ubligatori manualmente cù bindData. U prublema hè stata risolta in i versioni 3.3.15, 4.1.1, 5.1.9 è 5.2.1.
Inoltre, pudemu nutà una vulnerabilità in u modulu Ruby tzinfo, chì permette di scaricà u cuntenutu di qualsiasi fugliale, in quantu i diritti d'accessu di l'applicazione attaccata permettenu. A vulnerabilità hè dovuta à a mancanza di cuntrolla curretta per l'usu di caratteri speciali in u nome di u fusu orariu specificatu in u metudu TZInfo::Timezone.get. U prublema afecta l'applicazioni chì passanu dati esterni micca validati à TZInfo::Timezone.get. Per esempiu, per leghje u schedariu /tmp/payload, pudete specificà un valore cum'è "foo\n/../../../tmp/payload".
Source: opennet.ru