ხარვეზები Grails ვებ ჩარჩოში და TZInfo Ruby მოდულში

Grails ვებ ჩარჩოში, რომელიც შექმნილია ვებ აპლიკაციების შემუშავებისთვის MVC პარადიგმის შესაბამისად Java, Groovy და სხვა ენებზე JVM-ისთვის, გამოვლენილია დაუცველობა, რომელიც საშუალებას გაძლევთ დისტანციურად შეასრულოთ თქვენი კოდი იმ გარემოში, რომელშიც ვებ. აპლიკაცია მუშაობს. დაუცველობის ექსპლუატაცია ხდება სპეციალურად შემუშავებული მოთხოვნის გაგზავნით, რომელიც თავდამსხმელს აძლევს წვდომას ClassLoader-ზე. პრობლემა გამოწვეულია მონაცემთა დამაკავშირებელი ლოგიკის ხარვეზით, რომელიც გამოიყენება როგორც ობიექტების შექმნისას, ასევე bindData-ს გამოყენებით ხელით დაკავშირებისას. პრობლემა მოგვარდა 3.3.15, 4.1.1, 5.1.9 და 5.2.1 გამოშვებებში.

გარდა ამისა, ჩვენ შეგვიძლია აღვნიშნოთ დაუცველობა Ruby მოდულში tzinfo, რომელიც საშუალებას გაძლევთ ჩამოტვირთოთ ნებისმიერი ფაილის შიგთავსი, რამდენადაც თავდასხმული აპლიკაციის წვდომის უფლება იძლევა საშუალებას. დაუცველობა გამოწვეულია TZInfo::Timezone.get მეთოდით განსაზღვრული დროის სარტყელის სახელზე სპეციალური სიმბოლოების გამოყენების სათანადო შემოწმების არარსებობით. პრობლემა ეხება აპლიკაციებს, რომლებიც გადასცემენ დაუდასტურებელ გარე მონაცემებს TZInfo::Timezone.get-ს. მაგალითად, ფაილის /tmp/payload წასაკითხად, შეგიძლიათ მიუთითოთ მნიშვნელობა, როგორიცაა "foo\n/../../../tmp/payload".

წყარო: opennet.ru