Graalsi veebiraamistikus on tuvastatud haavatavus, mis on loodud veebirakenduste arendamiseks vastavalt MVC paradigmale Java, Groovy ja teistes JVM-i keeltes, mis võimaldab teil koodi kaugkäivitada keskkonnas, kus veebis rakendus töötab. Haavatavust kasutatakse ära spetsiaalselt loodud päringu saatmisega, mis annab ründajale juurdepääsu Classloaderile. Probleemi põhjustab viga andmete sidumise loogikas, mida kasutatakse nii objektide loomisel kui ka käsitsi sidumisel bindData abil. Probleem on parandatud versioonides 3.3.15, 4.1.1, 5.1.9 ja 5.2.1.
Lisaks võime märkida haavatavust tzinfo Ruby moodulis, mis võimaldab laadida mis tahes faili sisu, kuivõrd rünnatud rakenduse juurdepääsuõigused seda võimaldavad. Haavatavus on seotud TZInfo::Timezone.get meetodis määratud ajavööndi nime erimärkide kasutamise nõuetekohase kontrolli puudumisega. Probleem mõjutab rakendusi, mis edastavad TZInfo::Timezone.get-le kinnitamata välisandmeid. Näiteks faili /tmp/payload lugemiseks saate määrata sellise väärtuse nagu "foo\n/../../../tmp/payload".
Allikas: opennet.ru