In het Grails webframework, ontworpen voor het ontwikkelen van webapplicaties volgens het MVC-paradigma in Java, Groovy en andere talen voor de JVM, is een kwetsbaarheid geïdentificeerd waarmee je op afstand je code kunt uitvoeren in de omgeving waarin het web applicatie draait. Het beveiligingslek wordt misbruikt door een speciaal vervaardigd verzoek te verzenden dat de aanvaller toegang geeft tot de ClassLoader. Het probleem wordt veroorzaakt door een fout in de logica voor gegevensbinding, die zowel wordt gebruikt bij het maken van objecten als bij het handmatig binden met behulp van bindData. Het probleem is opgelost in releases 3.3.15, 4.1.1, 5.1.9 en 5.2.1.
Bovendien kunnen we een kwetsbaarheid vaststellen in de Ruby-module tzinfo, waarmee u de inhoud van elk bestand kunt downloaden, voor zover de toegangsrechten van de aangevallen applicatie dit toelaten. Het beveiligingslek wordt veroorzaakt door het ontbreken van een goede controle op het gebruik van speciale tekens in de naam van de tijdzone die is opgegeven in de methode TZInfo::Timezone.get. Het probleem treft toepassingen die niet-gevalideerde externe gegevens doorgeven aan TZInfo::Timezone.get. Als u bijvoorbeeld het bestand /tmp/payload wilt lezen, kunt u een waarde opgeven als "foo\n/../../../tmp/payload".
Bron: opennet.ru