Java, Groovy және басқа JVM тілдерінде MVC парадигмасын пайдалана отырып, веб-қосымшаларды әзірлеуге арналған Grails веб-рамкасында осалдық анықталды. Бұл осалдық веб-бағдарлама іске қосылған ортада қашықтан кодты орындауға мүмкіндік береді. Осалдық шабуылдаушыға ClassLoader бағдарламасына кіруге рұқсат беріп, арнайы жасалған сұрауды жіберу арқылы пайдаланылады. Мәселе нысандарды жасау кезінде де, оларды bindData арқылы қолмен байланыстыру кезінде де пайдаланылатын деректерді байланыстыру логикасындағы ақаудан туындайды. Мәселе 3.3.15, 4.1.1, 5.1.9 және 5.2.1 шығарылымдарында түзетілген.
Ruby tzinfo модуліндегі тағы бір осалдықты атап өтуге болады. Ол мақсатты қолданбаның рұқсаттарын ескере отырып, кез келген файлдың мазмұнын жүктеуге мүмкіндік береді. Осалдық TZInfo::Timezone.get әдісінде көрсетілген уақыт белдеуі атауындағы арнайы таңбалар үшін тиісті тексерудің болмауына байланысты. Мәселе TZInfo::Timezone.get сайтына тексерілмеген сыртқы деректерді жіберетін қолданбаларға әсер етеді. Мысалы, /tmp/payload файлын оқу үшін "foo\n/../../../tmp/payload" сияқты мән көрсетілуі мүмкін.
Ақпарат көзі: opennet.ru
