JVM ಗಾಗಿ ಜಾವಾ, ಗ್ರೂವಿ ಮತ್ತು ಇತರ ಭಾಷೆಗಳಲ್ಲಿ MVC ಮಾದರಿಗೆ ಅನುಗುಣವಾಗಿ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ Grails ವೆಬ್ ಫ್ರೇಮ್ವರ್ಕ್ನಲ್ಲಿ, ವೆಬ್ ಇರುವ ಪರಿಸರದಲ್ಲಿ ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ದೂರದಿಂದಲೇ ಕಾರ್ಯಗತಗೊಳಿಸಲು ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ. ಅಪ್ಲಿಕೇಶನ್ ಚಾಲನೆಯಲ್ಲಿದೆ. ವಿಶೇಷವಾಗಿ ರಚಿಸಲಾದ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ ಅದು ಆಕ್ರಮಣಕಾರರಿಗೆ ClassLoader ಗೆ ಪ್ರವೇಶವನ್ನು ನೀಡುತ್ತದೆ. ಡೇಟಾ-ಬೈಂಡಿಂಗ್ ಲಾಜಿಕ್ನಲ್ಲಿನ ದೋಷದಿಂದ ಸಮಸ್ಯೆ ಉಂಟಾಗುತ್ತದೆ, ಇದನ್ನು ವಸ್ತುಗಳನ್ನು ರಚಿಸುವಾಗ ಮತ್ತು ಬೈಂಡ್ಡೇಟಾವನ್ನು ಬಳಸಿಕೊಂಡು ಹಸ್ತಚಾಲಿತವಾಗಿ ಬಂಧಿಸುವಾಗ ಬಳಸಲಾಗುತ್ತದೆ. 3.3.15, 4.1.1, 5.1.9, ಮತ್ತು 5.2.1 ಬಿಡುಗಡೆಗಳಲ್ಲಿ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ.
ಹೆಚ್ಚುವರಿಯಾಗಿ, ರೂಬಿ ಮಾಡ್ಯೂಲ್ tzinfo ನಲ್ಲಿ ನಾವು ದುರ್ಬಲತೆಯನ್ನು ಗಮನಿಸಬಹುದು, ಇದು ದಾಳಿಗೊಳಗಾದ ಅಪ್ಲಿಕೇಶನ್ನ ಪ್ರವೇಶ ಹಕ್ಕುಗಳು ಅನುಮತಿಸುವವರೆಗೆ ಯಾವುದೇ ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. TZInfo::Timezone.get ವಿಧಾನದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಸಮಯ ವಲಯದ ಹೆಸರಿನಲ್ಲಿ ವಿಶೇಷ ಅಕ್ಷರಗಳ ಬಳಕೆಗೆ ಸರಿಯಾದ ಪರಿಶೀಲನೆಯ ಕೊರತೆಯಿಂದಾಗಿ ದುರ್ಬಲತೆ ಉಂಟಾಗುತ್ತದೆ. TZInfo ::Timezone.get ಗೆ ಅಮಾನ್ಯವಾದ ಬಾಹ್ಯ ಡೇಟಾವನ್ನು ರವಾನಿಸುವ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಮೇಲೆ ಸಮಸ್ಯೆಯು ಪರಿಣಾಮ ಬೀರುತ್ತದೆ. ಉದಾಹರಣೆಗೆ, ಫೈಲ್ /tmp/payload ಅನ್ನು ಓದಲು, ನೀವು "foo\n/../../../tmp/payload" ನಂತಹ ಮೌಲ್ಯವನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಬಹುದು.
ಮೂಲ: opennet.ru