Grails-verkkokehyksessä on havaittu haavoittuvuus, joka on suunniteltu verkkosovellusten kehittämiseen MVC-paradigman mukaisesti Java-, Groovy- ja muilla kielillä JVM:lle, jonka avulla voit suorittaa koodisi etänä ympäristössä, jossa verkko sovellus on käynnissä. Haavoittuvuutta hyödynnetään lähettämällä erityisesti suunniteltu pyyntö, joka antaa hyökkääjälle pääsyn ClassLoaderiin. Ongelma johtuu virheestä tietojen sidontalogiikassa, jota käytetään sekä objekteja luotaessa että manuaalisesti sidotessa bindDatalla. Ongelma on korjattu julkaisuissa 3.3.15, 4.1.1, 5.1.9 ja 5.2.1.
Lisäksi voimme huomata haavoittuvuuden tzinfo Ruby -moduulissa, joka mahdollistaa minkä tahansa tiedoston sisällön lataamisen siinä määrin kuin hyökkäyksen kohteena olevan sovelluksen käyttöoikeudet sen sallivat. Haavoittuvuus liittyy siihen, ettei TZInfo::Timezone.get-metodissa määritetyn aikavyöhykkeen nimen erikoismerkkien käyttöä ole kunnolla tarkastettu. Ongelma vaikuttaa sovelluksiin, jotka välittävät vahvistamattomia ulkoisia tietoja TZInfo::Timezone.getille. Jos haluat esimerkiksi lukea tiedoston /tmp/payload, voit määrittää arvon, kuten "foo\n/../../../tmp/payload".
Lähde: opennet.ru