In Grails interretiali compage, ad applicationes interretiales explicandas secundum paradigma MVC in Java, Groovy et aliis linguis pro JVM disposito, vulnerabilitas notata est quae sinit te codicem tuum in ambitu in quo textus penitus exsequi sinit. application currit. In vulnerabilitas abutitur mittendo petitionem artificiosam, quae oppugnans aditum ad ClassLoader dat. Problema causatur per uitium in logica data ligandi, quae tam in obiectis creandis quam cum manuali ligatione utendo bindData adhibetur. Resoluta est in solvo 3.3.15, 4.1.1, 5.1.9, and 5.2.1.
Adde vulnerabilitatem in Ruby moduli tzinfo notare possumus, quod permittit tibi contenta cuiuslibet fasciculi detrahere, quatenus accessus iurium applicationis impugnatae permittit. vulnerabilitas ob defectum proprietatis retardationis pro usu characterum specialium nomine temporis zonae in TZInfo ::Timezone.get methodo determinatae. Exitus afficit applicationes quae invalidari externas notitias ad TZInfo ::Timezone.get transeunt. Exempli gratia, tabellam /tmp/payload legere, valorem denotare poteris sicut "foo\n/../../../tmp/payload".
Source: opennet.ru