En sårbarhed er blevet identificeret i Grails-webframeworket, designet til at udvikle webapplikationer i overensstemmelse med MVC-paradigmet i Java, Groovy og andre sprog til JVM, der giver dig mulighed for at fjernafvikle din kode i det miljø, hvor nettet applikationen kører. Sårbarheden udnyttes ved at sende en specialdesignet anmodning, der giver angriberen adgang til ClassLoader. Problemet skyldes en fejl i databindingslogikken, som bruges både ved oprettelse af objekter og ved manuel binding ved hjælp af bindData. Problemet er blevet rettet i udgivelser 3.3.15, 4.1.1, 5.1.9 og 5.2.1.
Derudover kan vi notere en sårbarhed i tzinfo Ruby-modulet, som tillader indlæsning af indholdet af enhver fil, så vidt adgangsrettighederne til den angrebne applikation tillader det. Sårbarheden er relateret til manglen på korrekt kontrol for brugen af specialtegn i tidszonenavnet angivet i TZInfo::Timezone.get metoden. Problemet påvirker applikationer, der sender uvaliderede eksterne data til TZInfo::Timezone.get. For at læse filen /tmp/payload kan du f.eks. angive en værdi som "foo\n/../../../tmp/payload".
Kilde: opennet.ru