Í Grails veframmanum, sem er hannað til að þróa vefforrit í samræmi við MVC hugmyndafræðina í Java, Groovy og öðrum tungumálum fyrir JVM, hefur verið greint varnarleysi sem gerir þér kleift að keyra kóðann þinn fjarstýrt í umhverfinu sem vefurinn er í. forritið er í gangi. Varnarleysið er nýtt með því að senda sérstaklega útfærða beiðni sem veitir árásarmanninum aðgang að ClassLoader. Vandamálið stafar af galla í gagnabindingarrökfræðinni, sem er notuð bæði þegar hlutir eru búnir til og handvirkt binding með bindData. Málið var leyst í útgáfum 3.3.15, 4.1.1, 5.1.9 og 5.2.1.
Að auki getum við tekið eftir varnarleysi í Ruby einingunni tzinfo, sem gerir þér kleift að hlaða niður innihaldi hvaða skrá sem er, eins langt og aðgangsréttur forritsins sem ráðist er á leyfir. Varnarleysið er vegna skorts á réttri athugun á notkun sértákna í nafni tímabeltis sem tilgreint er í TZInfo::Timezone.get aðferðinni. Málið hefur áhrif á forrit sem senda ófullgild ytri gögn til TZInfo::Timezone.get. Til dæmis, til að lesa skrána /tmp/payload, gætirðu tilgreint gildi eins og "foo\n/../../../tmp/payload".
Heimild: opennet.ru