Dina kerangka wéb Grails, dirancang pikeun ngembangkeun aplikasi wéb saluyu sareng paradigma MVC di Java, Groovy sareng basa sanés pikeun JVM, kerentanan parantos diidentifikasi anu ngamungkinkeun anjeun ngaéksekusi kode anjeun jarak jauh di lingkungan dimana wéb. aplikasi ngajalankeun. Kerentanan dieksploitasi ku ngirimkeun pamundut anu didamel khusus anu masihan panyerang aksés ka ClassLoader. Masalahna disababkeun ku cacad dina logika ngariung data, anu dianggo nalika nyiptakeun objék sareng nalika ngariung sacara manual nganggo bindData. Masalahna direngsekeun dina sékrési 3.3.15, 4.1.1, 5.1.9, sareng 5.2.1.
Salaku tambahan, urang tiasa nyatet kerentanan dina modul Ruby tzinfo, anu ngamungkinkeun anjeun ngaunduh eusi file naon waé, sajauh hak aksés aplikasi anu diserang ngamungkinkeun. Kerentanan téh alatan kurangna mariksa ditangtoskeun pikeun pamakéan karakter husus dina ngaran zona waktu dieusian dina TZInfo :: Metoda Timezone.get. Masalahna mangaruhan aplikasi anu ngalirkeun data éksternal anu teu valid ka TZInfo :: Timezone.get. Contona, pikeun maca file /tmp/payload, anjeun tiasa netepkeun nilai sapertos "foo\n/../../../tmp/payload".
sumber: opennet.ru