Ve webovém frameworku Grails, navrženém pro vývoj webových aplikací v souladu s paradigmatem MVC v Javě, Groovy a dalších jazycích pro JVM, byla identifikována zranitelnost, která vám umožňuje vzdáleně spouštět váš kód v prostředí, ve kterém web aplikace běží. Tato chyba zabezpečení je zneužita odesláním speciálně vytvořeného požadavku, který útočníkovi umožní přístup k ClassLoaderu. Problém je způsoben chybou v logice vázání dat, která se používá jak při vytváření objektů, tak při ručním vázání pomocí bindData. Problém byl vyřešen ve verzích 3.3.15, 4.1.1, 5.1.9 a 5.2.1.
Dále můžeme zaznamenat zranitelnost v modulu Ruby tzinfo, který umožňuje stáhnout obsah libovolného souboru, pokud to přístupová práva napadené aplikace dovolují. Chyba zabezpečení je způsobena nedostatečnou kontrolou použití speciálních znaků v názvu časového pásma zadaného v metodě TZInfo::Timezone.get. Problém se týká aplikací, které předávají neověřená externí data do TZInfo::Timezone.get. Chcete-li například číst soubor /tmp/payload, můžete zadat hodnotu jako "foo\n/../../../tmp/payload".
Zdroj: opennet.ru