U Grails web okviru, dizajniranom za razvoj web aplikacija u skladu s MVC paradigmom u Javi, Groovy i drugim jezicima za JVM, identificirana je ranjivost koja vam omogućuje daljinsko izvršavanje vašeg koda u okruženju u kojem web aplikacija je pokrenuta. Ranjivost se iskorištava slanjem posebno izrađenog zahtjeva koji napadaču daje pristup ClassLoaderu. Problem je uzrokovan greškom u logici povezivanja podataka, koja se koristi i prilikom stvaranja objekata i prilikom ručnog povezivanja pomoću bindData. Problem je riješen u izdanjima 3.3.15, 4.1.1, 5.1.9 i 5.2.1.
Dodatno, možemo primijetiti ranjivost u Ruby modulu tzinfo, koji vam omogućuje preuzimanje sadržaja bilo koje datoteke, koliko god to dopuštaju prava pristupa napadnute aplikacije. Ranjivost je posljedica nedostatka pravilne provjere upotrebe posebnih znakova u nazivu vremenske zone navedene u metodi TZInfo::Timezone.get. Problem utječe na aplikacije koje prosljeđuju nepotvrđene vanjske podatke TZInfo::Timezone.get. Na primjer, za čitanje datoteke /tmp/payload, možete navesti vrijednost poput "foo\n/../../../tmp/payload".
Izvor: opennet.ru