Во веб-рамката Grails, дизајнирана за развој на веб-апликации во согласност со парадигмата MVC во Java, Groovy и други јазици за JVM, идентификувана е ранливост што ви овозможува далечински да го извршите вашиот код во околината во која веб апликацијата работи. Ранливоста се искористува со испраќање специјално изработено барање кое на напаѓачот му дава пристап до ClassLoader. Проблемот е предизвикан од дефект во логиката за врзување податоци, која се користи и при креирање објекти и при рачно врзување со помош на bindData. Проблемот беше решен во изданијата 3.3.15, 4.1.1, 5.1.9 и 5.2.1.
Дополнително, можеме да забележиме ранливост во модулот Ruby tzinfo, кој ви овозможува да ја преземете содржината на која било датотека, онолку колку што дозволуваат правата за пристап на нападната апликација. Ранливоста се должи на недостатокот на соодветна проверка за употреба на специјални знаци во името на временската зона наведена во методот TZInfo::Timezone.get. Проблемот влијае на апликациите што пренесуваат невалидирани надворешни податоци на TZInfo::Timezone.get. На пример, за да ја прочитате датотеката /tmp/payload, можете да наведете вредност како „foo\n/../../../tmp/payload“.
Извор: opennet.ru