Java, Groovy болон бусад JVM хэл дээр MVC парадигмыг ашиглан вэб програмуудыг хөгжүүлэхэд зориулагдсан Grails вэб фреймворкийн эмзэг байдал илэрсэн. Энэхүү эмзэг байдал нь вэб програм ажиллаж байгаа орчинд кодыг алсаас гүйцэтгэх боломжийг олгодог. Тусгайлан боловсруулсан хүсэлтийг илгээж, халдагчдад ClassLoader-д хандах эрхийг олгох замаар энэ эмзэг байдлыг ашигладаг. Асуудал нь объект үүсгэх болон bindData ашиглан гараар холбоход хэрэглэгддэг өгөгдөл холбох логикийн алдаанаас үүдэлтэй юм. Асуудлыг 3.3.15, 4.1.1, 5.1.9, 5.2.1 хувилбаруудад зассан.
Ruby tzinfo модулийн өөр нэг эмзэг байдал нь анхаарал татаж байна. Энэ нь зорилтот програмын зөвшөөрлийн дагуу аливаа файлын агуулгыг ачаалах боломжийг олгодог. Энэ эмзэг байдал нь TZInfo::Timezone.get аргад заасан цагийн бүсийн нэрний тусгай тэмдэгтүүдийг зөв баталгаажуулаагүйтэй холбоотой юм. Асуудал нь TZInfo::Timezone.get руу баталгаажуулаагүй гадаад өгөгдлийг дамжуулдаг програмуудад нөлөөлж байна. Жишээлбэл, /tmp/payload файлыг уншихын тулд "foo\n/../../../tmp/payload" гэх мэт утгыг зааж өгч болно.
Эх сурвалж: opennet.ru
