JVM కోసం జావా, గ్రూవీ మరియు ఇతర భాషలలో MVC నమూనాకు అనుగుణంగా వెబ్ అప్లికేషన్లను అభివృద్ధి చేయడం కోసం రూపొందించబడిన గ్రెయిల్స్ వెబ్ ఫ్రేమ్వర్క్లో ఒక దుర్బలత్వం గుర్తించబడింది, ఇది వెబ్ వాతావరణంలో మీ కోడ్ను రిమోట్గా అమలు చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. అప్లికేషన్ అమలులో ఉంది. దాడి చేసే వ్యక్తికి క్లాస్లోడర్కు యాక్సెస్ను అందించే ప్రత్యేకంగా రూపొందించిన అభ్యర్థనను పంపడం ద్వారా దుర్బలత్వం ఉపయోగించబడింది. డేటా-బైండింగ్ లాజిక్లో లోపం కారణంగా సమస్య ఏర్పడింది, ఇది వస్తువులను సృష్టించేటప్పుడు మరియు బైండ్డేటాను ఉపయోగించి మాన్యువల్గా బైండింగ్ చేసేటప్పుడు ఉపయోగించబడుతుంది. 3.3.15, 4.1.1, 5.1.9 మరియు 5.2.1 విడుదలలలో సమస్య పరిష్కరించబడింది.
అదనంగా, మేము tzinfo రూబీ మాడ్యూల్లో ఒక దుర్బలత్వాన్ని గమనించవచ్చు, ఇది దాడి చేయబడిన అప్లికేషన్ యొక్క యాక్సెస్ హక్కులు అనుమతించినంత వరకు ఏదైనా ఫైల్ యొక్క కంటెంట్లను లోడ్ చేయడానికి అనుమతిస్తుంది. TZInfo::Timezone.get పద్ధతిలో పేర్కొన్న టైమ్ జోన్ పేరులోని ప్రత్యేక అక్షరాల వినియోగానికి సరైన చెక్ లేకపోవడమే దుర్బలత్వం. TZInfo::Timezone.getకి చెల్లుబాటు కాని బాహ్య డేటాను పంపే అప్లికేషన్లను సమస్య ప్రభావితం చేస్తుంది. ఉదాహరణకు, ఫైల్ /tmp/payload చదవడానికి, మీరు "foo\n/../../../tmp/payload" వంటి విలువను పేర్కొనవచ్చు.
మూలం: opennet.ru