Dalam rangka kerja web Grails, direka untuk membangunkan aplikasi web selaras dengan paradigma MVC di Java, Groovy dan bahasa lain untuk JVM, kelemahan telah dikenal pasti yang membolehkan anda melaksanakan kod anda dari jauh dalam persekitaran di mana web aplikasi sedang berjalan. Kerentanan itu dieksploitasi dengan menghantar permintaan yang dibuat khas yang memberikan penyerang akses kepada ClassLoader. Masalahnya disebabkan oleh kecacatan dalam logik pengikat data, yang digunakan semasa membuat objek dan apabila mengikat secara manual menggunakan bindData. Isu ini telah diselesaikan dalam keluaran 3.3.15, 4.1.1, 5.1.9 dan 5.2.1.
Selain itu, kami boleh perhatikan kelemahan dalam modul Ruby tzinfo, yang membolehkan anda memuat turun kandungan mana-mana fail, setakat yang dibenarkan oleh hak akses aplikasi yang diserang. Kerentanan ini disebabkan oleh kekurangan pemeriksaan yang betul untuk penggunaan aksara khas dalam nama zon waktu yang dinyatakan dalam kaedah TZInfo::Timezone.get. Isu ini mempengaruhi aplikasi yang menghantar data luaran yang tidak sah kepada TZInfo::Timezone.get. Contohnya, untuk membaca fail /tmp/payload, anda boleh menentukan nilai seperti "foo\n/../../../tmp/payload".
Sumber: opennet.ru