ในเฟรมเวิร์กเว็บ Grails ที่ออกแบบมาสำหรับการพัฒนาเว็บแอปพลิเคชันตามกระบวนทัศน์ MVC ใน Java, Groovy และภาษาอื่น ๆ สำหรับ JVM มีการระบุช่องโหว่ที่ช่วยให้คุณสามารถรันโค้ดของคุณจากระยะไกลในสภาพแวดล้อมที่เว็บ แอปพลิเคชันกำลังทำงานอยู่ ช่องโหว่นี้ถูกโจมตีโดยการส่งคำขอที่สร้างขึ้นมาเป็นพิเศษเพื่อให้ผู้โจมตีสามารถเข้าถึง ClassLoader ได้ ปัญหาเกิดจากข้อบกพร่องในตรรกะการผูกข้อมูล ซึ่งใช้ทั้งเมื่อสร้างออบเจ็กต์และเมื่อผูกด้วยตนเองโดยใช้ bindData ปัญหาได้รับการแก้ไขแล้วในรุ่น 3.3.15, 4.1.1, 5.1.9 และ 5.2.1
นอกจากนี้ เรายังพบช่องโหว่ในโมดูล Ruby tzinfo ซึ่งช่วยให้คุณสามารถดาวน์โหลดเนื้อหาของไฟล์ใดๆ ก็ได้ เท่าที่สิทธิ์การเข้าถึงของแอปพลิเคชันที่ถูกโจมตีอนุญาต ช่องโหว่นี้เกิดจากการขาดการตรวจสอบการใช้อักขระพิเศษในชื่อโซนเวลาที่ระบุในวิธี TZInfo::Timezone.get อย่างเหมาะสม ปัญหานี้ส่งผลต่อแอปพลิเคชันที่ส่งข้อมูลภายนอกที่ไม่ได้รับการตรวจสอบไปยัง TZInfo::Timezone.get ตัวอย่างเช่น หากต้องการอ่านไฟล์ /tmp/payload คุณสามารถระบุค่าเช่น "foo\n/../../../tmp/payload"
ที่มา: opennet.ru