Yn it Grails-webkader, ûntworpen foar it ûntwikkeljen fan webapplikaasjes yn oerienstimming mei it MVC-paradigma yn Java, Groovy en oare talen foar de JVM, is in kwetsberens identifisearre wêrmei jo jo koade op ôfstân kinne útfiere yn 'e omjouwing wêryn it web applikaasje rint. De kwetsberens wurdt eksploitearre troch it ferstjoeren fan in spesjaal makke fersyk dat de oanfaller tagong jout ta de ClassLoader. It probleem wurdt feroarsake troch in flater yn 'e data-binende logika, dy't brûkt wurdt sawol by it meitsjen fan objekten as by it manuell binen mei bindData. It probleem waard oplost yn releases 3.3.15, 4.1.1, 5.1.9, en 5.2.1.
Derneist kinne wy in kwetsberens opmerke yn 'e Ruby-module tzinfo, wêrmei jo de ynhâld fan elke triem kinne downloade, foarsafier't de tagongsrjochten fan' e oanfalle applikaasje tastean. De kwetsberens komt troch it ûntbrekken fan goede kontrôle foar it brûken fan spesjale tekens yn 'e namme fan' e tiidsône oantsjutte yn 'e TZInfo :: Timezone.get metoade. It probleem hat ynfloed op applikaasjes dy't net-validearre eksterne gegevens trochjaan oan TZInfo :: Timezone.get. Bygelyks, om it bestân /tmp/payload te lêzen, kinne jo in wearde opjaan lykas "foo\n/../../../tmp/payload".
Boarne: opennet.ru