Katika mfumo wa wavuti wa Grails, iliyoundwa kwa ajili ya kuunda programu za wavuti kwa mujibu wa dhana ya MVC katika Java, Groovy na lugha nyingine za JVM, udhaifu umetambuliwa ambao hukuruhusu kutekeleza msimbo wako kwa mbali katika mazingira ambayo wavuti maombi yanaendeshwa. Athari hii inatumika vibaya kwa kutuma ombi iliyoundwa mahususi ambalo humpa mvamizi ufikiaji wa ClassLoader. Tatizo linasababishwa na hitilafu katika mantiki ya kuunganisha data, ambayo hutumiwa wakati wa kuunda vitu na wakati wa kufunga kwa mikono kwa kutumia bindData. Suala hilo lilitatuliwa katika matoleo 3.3.15, 4.1.1, 5.1.9, na 5.2.1.
Zaidi ya hayo, tunaweza kutambua udhaifu katika moduli ya Ruby tzinfo, ambayo inakuruhusu kupakua maudhui ya faili yoyote, kadiri haki za ufikiaji za programu iliyoshambuliwa inavyoruhusu. Athari hii inatokana na kukosekana kwa ukaguzi ufaao wa matumizi ya vibambo maalum kwa jina la saa za eneo lililobainishwa katika mbinu ya TZinfo::Saa.pata. Suala hili linaathiri programu zinazopitisha data ya nje ambayo haijathibitishwa kwa TZInfo::Timezone.get. Kwa mfano, ili kusoma faili /tmp/payload, unaweza kubainisha thamani kama "foo\n/../../../tmp/payload".
Chanzo: opennet.ru