Nel framework web Grails, progettato per lo sviluppo di applicazioni web secondo il paradigma MVC in Java, Groovy e altri linguaggi per JVM, è stata individuata una vulnerabilità che consente di eseguire in remoto il proprio codice nell'ambiente in cui si trova il web l'applicazione è in esecuzione. La vulnerabilità viene sfruttata inviando una richiesta appositamente predisposta che fornisce all'aggressore l'accesso al ClassLoader. Il problema è causato da un difetto nella logica di associazione dei dati, che viene utilizzata sia durante la creazione di oggetti sia durante l'associazione manuale utilizzando bindData. Il problema è stato risolto nelle versioni 3.3.15, 4.1.1, 5.1.9 e 5.2.1.
Inoltre, notiamo una vulnerabilità nel modulo Ruby tzinfo, che permette di scaricare il contenuto di qualsiasi file, purché i diritti di accesso dell'applicazione attaccata lo consentano. La vulnerabilità è dovuta alla mancanza di un controllo adeguato per l'uso di caratteri speciali nel nome del fuso orario specificato nel metodo TZInfo::Timezone.get. Il problema riguarda le applicazioni che trasmettono dati esterni non convalidati a TZInfo::Timezone.get. Ad esempio, per leggere il file /tmp/payload, potresti specificare un valore come "foo\n/../../../tmp/payload".
Fonte: opennet.ru