Java, Groovy மற்றும் JVMக்கான பிற மொழிகளில் MVC முன்னுதாரணத்திற்கு ஏற்ப வலைப் பயன்பாடுகளை உருவாக்குவதற்காக வடிவமைக்கப்பட்ட கிரெயில்ஸ் வலை கட்டமைப்பில் ஒரு பாதிப்பு கண்டறியப்பட்டுள்ளது, இது இணையம் உள்ள சூழலில் உங்கள் குறியீட்டை தொலைவிலிருந்து இயக்க அனுமதிக்கிறது. பயன்பாடு இயங்குகிறது. தாக்குபவருக்கு ClassLoaderக்கான அணுகலை வழங்கும் சிறப்பாக வடிவமைக்கப்பட்ட கோரிக்கையை அனுப்புவதன் மூலம் பாதிப்பு சுரண்டப்படுகிறது. தரவு-பிணைப்பு தர்க்கத்தில் உள்ள குறைபாட்டால் சிக்கல் ஏற்படுகிறது, இது பொருட்களை உருவாக்கும் போது மற்றும் bindData ஐப் பயன்படுத்தி கைமுறையாக பிணைக்கும் போது பயன்படுத்தப்படுகிறது. 3.3.15, 4.1.1, 5.1.9 மற்றும் 5.2.1 வெளியீடுகளில் சிக்கல் சரி செய்யப்பட்டது.
கூடுதலாக, tzinfo Ruby தொகுதியில் ஒரு பாதிப்பை நாம் கவனிக்க முடியும், இது தாக்கப்பட்ட பயன்பாட்டின் அணுகல் உரிமைகள் அனுமதிக்கும் வரை, எந்தவொரு கோப்பின் உள்ளடக்கத்தையும் ஏற்ற அனுமதிக்கிறது. TZInfo::Timezone.get முறையில் குறிப்பிடப்பட்டுள்ள நேர மண்டலப் பெயரில் உள்ள சிறப்பு எழுத்துகளைப் பயன்படுத்துவதற்கான சரியான சரிபார்ப்பு இல்லாததால் பாதிப்பு ஏற்படுகிறது. TZInfo::Timezone.get க்கு சரிபார்க்கப்படாத வெளிப்புறத் தரவை அனுப்பும் பயன்பாடுகளை இந்தச் சிக்கல் பாதிக்கிறது. எடுத்துக்காட்டாக, /tmp/payload கோப்பைப் படிக்க, "foo\n/../../../tmp/payload" போன்ற மதிப்பைக் குறிப்பிடலாம்.
ஆதாரம்: opennet.ru