Është identifikuar një dobësi në kuadrin ueb Grails, i krijuar për zhvillimin e aplikacioneve në internet në përputhje me paradigmën MVC në Java, Groovy dhe gjuhë të tjera për JVM, që ju lejon të ekzekutoni nga distanca kodin tuaj në mjedisin në të cilin ueb aplikacioni po funksionon. Dobësia shfrytëzohet duke dërguar një kërkesë të projektuar posaçërisht që i siguron sulmuesit akses në ClassLoader. Problemi shkaktohet nga një defekt në logjikën e lidhjes së të dhënave, e cila përdoret si gjatë krijimit të objekteve ashtu edhe kur lidhni manualisht duke përdorur bindData. Problemi është rregulluar në versionet 3.3.15, 4.1.1, 5.1.9 dhe 5.2.1.
Për më tepër, mund të vërejmë një dobësi në modulin tzinfo Ruby, i cili lejon ngarkimin e përmbajtjes së çdo skedari, për aq sa lejojnë të drejtat e aksesit të aplikacionit të sulmuar. Dobësia lidhet me mungesën e kontrollit të duhur për përdorimin e karaktereve speciale në emrin e zonës kohore të specifikuar në metodën TZInfo::Timezone.get. Problemi prek aplikacionet që kalojnë të dhëna të jashtme të pavlefshme te TZInfo::Timezone.get. Për shembull, për të lexuar skedarin /tmp/payload, mund të specifikoni një vlerë si "foo\n/../../../tmp/payload".
Burimi: opennet.ru