Java၊ Groovy နှင့် JVM အတွက် အခြားဘာသာစကားများအတွက် MVC ပါရာဒိုင်းနှင့်အညီ ဝဘ်အက်ပလီကေးရှင်းများ ရေးဆွဲရန်အတွက် Grails ဝဘ်ဘောင်ဘောင်တွင် အားနည်းချက်တစ်ခုကို ဖော်ထုတ်တွေ့ရှိခဲ့ပြီး၊ သင်သည် ဝဘ်၏ပတ်ဝန်းကျင်တွင် သင့်ကုဒ်ကို အဝေးမှလုပ်ဆောင်နိုင်စေမည့်၊ အပလီကေးရှင်းသည် အလုပ်လုပ်နေသည်။ တိုက်ခိုက်သူကို ClassLoader သို့ဝင်ရောက်ခွင့်ပေးသည့် အထူးဒီဇိုင်းထုတ်တောင်းဆိုမှုတစ်ခုပေးပို့ခြင်းဖြင့် အားနည်းချက်ကို အသုံးချသည်။ အဆိုပါပြဿနာသည် အရာဝတ္ထုများဖန်တီးရာတွင်လည်းကောင်း၊ bindData ကိုအသုံးပြု၍ ကိုယ်တိုင် bindData ကိုအသုံးပြုသည့်အခါတွင်လည်းကောင်း အသုံးပြုသည့် ဒေတာစည်းနှောင်ခြင်းဆိုင်ရာ ချို့ယွင်းချက်တစ်ခုကြောင့်ဖြစ်သည်။ ထုတ်ဝေမှုများ 3.3.15၊ 4.1.1၊ 5.1.9 နှင့် 5.2.1 တို့တွင် ပြဿနာကို ဖြေရှင်းပြီးဖြစ်သည်။
ထို့အပြင်၊ တိုက်ခိုက်ခံရသောအပလီကေးရှင်း၏ဝင်ရောက်ခွင့်ခွင့်ပြုသလောက် ဖိုင်တိုင်း၏အကြောင်းအရာများကို တင်ဆောင်ခွင့်ပြုသည့် tzinfo Ruby module တွင် အားနည်းချက်တစ်ခုကို မှတ်သားနိုင်သည်။ အားနည်းချက်သည် TZInfo::Timezone.get နည်းလမ်းတွင် သတ်မှတ်ထားသည့် အချိန်ဇုန်အမည်တွင် အထူးအက္ခရာများအသုံးပြုမှုအတွက် သင့်လျော်သော စစ်ဆေးမှုမရှိခြင်းနှင့် ဆက်စပ်နေသည်။ ပြဿနာသည် TZInfo::Timezone.get သို့ တရားဝင်မထားသော ပြင်ပဒေတာကို ဖြတ်သွားသော အပလီကေးရှင်းများအပေါ် သက်ရောက်မှုရှိပါသည်။ ဥပမာအားဖြင့်၊ /tmp/payload ဖိုင်ကိုဖတ်ရန်၊ "foo\n/../../../tmp/payload" ကဲ့သို့ တန်ဖိုးတစ်ခု သတ်မှတ်နိုင်ပါသည်။
source: opennet.ru