זוהתה פגיעות במסגרת האינטרנט Grails, שתוכננה לפיתוח יישומי אינטרנט באמצעות פרדיגמת MVC ב-Java, Groovy ושפות JVM אחרות. פגיעות זו מאפשרת ביצוע קוד מרחוק בסביבה בה פועלת יישום האינטרנט. הפגיעות מנוצלת על ידי שליחת בקשה שנוצרה במיוחד, המעניקה לתוקף גישה ל-ClassLoader. הבעיה נגרמת עקב פגם בלוגיקת קשירת הנתונים, המשמשת הן בעת יצירת אובייקטים והן בעת קשירה ידנית שלהם באמצעות bindData. הבעיה תוקנה בגרסאות 3.3.15, 4.1.1, 5.1.9 ו-5.2.1.
ראוי לציין פגיעות נוספת במודול tzinfo של Ruby. היא מאפשרת טעינה של תוכן של כל קובץ, בכפוף להרשאות של האפליקציה הממוקדת. הפגיעות נובעת מחוסר אימות מתאים לתווים מיוחדים בשם אזור הזמן שצוין בשיטת TZInfo::Timezone.get. הבעיה משפיעה על אפליקציות שמעבירות נתונים חיצוניים לא מאומתים ל-TZInfo::Timezone.get. לדוגמה, כדי לקרוא את הקובץ /tmp/payload, ניתן לציין ערך כמו "foo\n/../../../tmp/payload".
מקור: OpenNet.ru
