Grails tīmekļa ietvarā, kas paredzēts tīmekļa lietojumprogrammu izstrādei saskaņā ar MVC paradigmu Java, Groovy un citās JVM valodās, ir identificēta ievainojamība, kas ļauj attālināti izpildīt savu kodu vidē, kurā tīmeklis lietojumprogramma darbojas. Ievainojamība tiek izmantota, nosūtot īpaši izstrādātu pieprasījumu, kas uzbrucējam nodrošina piekļuvi ClassLoader. Problēmu izraisa datu saistīšanas loģikas kļūda, kas tiek izmantota gan objektu izveidei, gan manuālai saistīšanai, izmantojot bindData. Problēma tika atrisināta laidienos 3.3.15, 4.1.1, 5.1.9 un 5.2.1.
Turklāt mēs varam atzīmēt ievainojamību Ruby modulī tzinfo, kas ļauj lejupielādēt jebkura faila saturu, ciktāl to atļauj uzbrukušās lietojumprogrammas piekļuves tiesības. Ievainojamība ir saistīta ar to, ka TZInfo::Timezone.get metodē norādītās laika joslas nosaukumā nav pareizi pārbaudīts, vai tiek izmantotas speciālās rakstzīmes. Problēma ietekmē lietojumprogrammas, kas nosūta nevalidētus ārējos datus TZInfo::Timezone.get. Piemēram, lai lasītu failu /tmp/payload, varat norādīt tādu vērtību kā "foo\n/../../../tmp/payload".
Avots: opennet.ru