Sa Grails web framework, na idinisenyo para sa pagbuo ng mga web application alinsunod sa paradigm ng MVC sa Java, Groovy at iba pang mga wika para sa JVM, natukoy ang isang kahinaan na nagbibigay-daan sa iyong malayuang isagawa ang iyong code sa kapaligiran kung saan ang web tumatakbo ang application. Ang kahinaan ay pinagsamantalahan sa pamamagitan ng pagpapadala ng espesyal na ginawang kahilingan na nagbibigay sa umaatake ng access sa ClassLoader. Ang problema ay sanhi ng isang depekto sa data-binding logic, na ginagamit kapwa kapag lumilikha ng mga bagay at kapag manu-manong nagbubuklod gamit ang bindData. Nalutas ang isyu sa mga release 3.3.15, 4.1.1, 5.1.9, at 5.2.1.
Bilang karagdagan, maaari naming tandaan ang isang kahinaan sa Ruby module tzinfo, na nagbibigay-daan sa iyo upang i-download ang mga nilalaman ng anumang file, hangga't pinapayagan ng mga karapatan sa pag-access ng inatakeng application. Ang kahinaan ay dahil sa kakulangan ng wastong pagsusuri para sa paggamit ng mga espesyal na character sa pangalan ng time zone na tinukoy sa pamamaraang TZInfo::Timezone.get. Nakakaapekto ang isyu sa mga application na nagpapasa ng hindi valid na external na data sa TZInfo::Timezone.get. Halimbawa, para basahin ang file /tmp/payload, maaari kang tumukoy ng value tulad ng "foo\n/../../../tmp/payload".
Pinagmulan: opennet.ru