V spletnem ogrodju Grails, zasnovanem za razvoj spletnih aplikacij v skladu s paradigmo MVC v Javi, Groovy in drugih jezikih za JVM, je bila ugotovljena ranljivost, ki vam omogoča oddaljeno izvajanje kode v okolju, v katerem splet aplikacija se izvaja. Ranljivost se izkoristi s pošiljanjem posebej oblikovane zahteve, ki napadalcu omogoči dostop do ClassLoaderja. Težavo povzroča napaka v logiki povezovanja podatkov, ki se uporablja pri ustvarjanju objektov in pri ročnem povezovanju z uporabo bindData. Težava je bila odpravljena v izdajah 3.3.15, 4.1.1, 5.1.9 in 5.2.1.
Poleg tega lahko opazimo ranljivost v modulu Ruby tzinfo, ki omogoča prenos vsebine katere koli datoteke, kolikor dovoljujejo pravice dostopa napadene aplikacije. Ranljivost je posledica pomanjkanja ustreznega preverjanja uporabe posebnih znakov v imenu časovnega pasu, določenega v metodi TZInfo::Timezone.get. Težava vpliva na aplikacije, ki posredujejo nepreverjene zunanje podatke v TZInfo::Timezone.get. Če želite na primer prebrati datoteko /tmp/payload, lahko podate vrednost, kot je "foo\n/../../../tmp/payload".
Vir: opennet.ru