Java, Groovy жана JVM үчүн башка тилдердеги MVC парадигмасына ылайык веб тиркемелерди иштеп чыгуу үчүн иштелип чыккан Grails веб алкагындагы аялуу жери аныкталды, бул сизге веб чөйрөсүндө кодуңузду алыстан аткарууга мүмкүндүк берет. колдонмо иштеп жатат. Алсыздык чабуулчуга ClassLoaderге кирүү мүмкүнчүлүгүн берген атайын иштелип чыккан суроо-талапты жөнөтүү аркылуу пайдаланылат. Көйгөй объекттерди түзүүдө да, bindData аркылуу кол менен байлоодо да колдонулган маалыматтарды байланыштыруучу логиканын кемчилигинен келип чыгат. Маселе 3.3.15, 4.1.1, 5.1.9 жана 5.2.1 чыгарылыштарында чечилген.
Кошумчалай кетсек, биз tzinfo Ruby модулунун кемчилигин белгилей алабыз, ал кол салууга дуушар болгон тиркеменин кирүү укуктарына жараша каалаган файлдын мазмунун жүктөөгө мүмкүндүк берет. Алсыздык TZInfo::Timezone.get методунда көрсөтүлгөн убакыт алкагынын аталышында атайын белгилердин колдонулушуна тийиштүү текшерүүнүн жоктугу менен байланыштуу. Маселе TZInfo::Timezone.get сайтына текшерилбеген тышкы маалыматтарды өткөргөн колдонмолорго таасирин тийгизет. Мисалы, /tmp/payload файлын окуу үчүн "foo\n/../../../tmp/payload" сыяктуу маанини көрсөтсөңүз болот.
Source: opennet.ru