У web-фреймворку Grails, призначеному для розробки web-додатків відповідно до парадигми MVC Java, Groovy та іншими мовами для JVM, виявлено вразливість, що дозволяє віддалено виконати свій код в оточенні, в якому виконується web-додаток. Експлуатація вразливості здійснюється через відправлення спеціально оформленого запиту, що надає доступу до ClassLoader. Проблема викликана недоробкою в логіці прив'язки даних (data-binding), яка використовується як при створенні об'єктів, так і при ручній прив'язці за допомогою binddata. Проблема усунена у випусках 3.3.15, 4.1.1, 5.1.9 та 5.2.1.
Додатково можна відзначити вразливість у Ruby-модулі tzinfo, що дозволяє завантажити вміст будь-якого файлу, наскільки дозволяють права доступу програми, що атакується. Вразливість пов'язана з відсутністю належної перевірки використання спецсимволів у імені часового поясу, вказаного у методі TZInfo::Timezone.get. Проблема зачіпає програми, що передають TZInfo::Timezone.get неперевірені зовнішні дані. Наприклад, для читання файлу /tmp/payload можна вказати значення, подібне до foo\n/../../../tmp/payload.
Джерело: opennet.ru