פגיעויות במסגרת האינטרנט של Grails ובמודול TZInfo Ruby

זוהתה פגיעות במסגרת האינטרנט של Grails, המיועדת לפיתוח יישומי אינטרנט בהתאם לפרדיגמת MVC ב-Java, Groovy ושפות נוספות ל-JVM, המאפשרת לך לבצע מרחוק את הקוד שלך בסביבה בה האינטרנט. האפליקציה פועלת. הפגיעות מנוצלת על ידי שליחת בקשה שתוכננה במיוחד המספקת לתוקף גישה ל-ClassLoader. הבעיה נגרמת בשל פגם בלוגיקת קשירת הנתונים, המשמשת הן בעת ​​יצירת אובייקטים והן בעת ​​קשירה ידנית באמצעות bindData. הבעיה תוקנה במהדורות 3.3.15, 4.1.1, 5.1.9 ו-5.2.1.

בנוסף, אנו יכולים לציין פגיעות במודול tzinfo Ruby, המאפשר טעינת תוכן של כל קובץ, ככל שמאפשרות זכויות הגישה של האפליקציה המותקפת. הפגיעות קשורה להיעדר בדיקה מתאימה לשימוש בתווים מיוחדים בשם אזור הזמן שצוין בשיטת TZInfo::Timezone.get. הבעיה משפיעה על יישומים המעבירים נתונים חיצוניים לא מאומתים ל-TZInfo::Timezone.get. לדוגמה, כדי לקרוא את הקובץ /tmp/payload, אתה יכול לציין ערך כמו "foo\n/../../../tmp/payload".

מקור: OpenNet.ru