在 Grails Web 框架中,该框架专为在 Java、Groovy 和其他语言的 JVM 中按照 MVC 范式开发 Web 应用程序而设计,该框架中已发现一个漏洞,该漏洞允许您在 Web 环境中远程执行代码。应用程序正在运行。 该漏洞是通过发送特制请求来利用的,该请求使攻击者能够访问类加载器。 该问题是由数据绑定逻辑中的缺陷引起的,该逻辑在创建对象和使用bindData手动绑定时都会使用。 该问题已在版本 3.3.15、4.1.1、5.1.9 和 5.2.1 中得到解决。
此外,我们还可以注意到 Ruby 模块 tzinfo 中存在一个漏洞,只要受攻击应用程序的访问权限允许,您就可以通过该漏洞下载任何文件的内容。 该漏洞是由于缺乏对 TZInfo::Timezone.get 方法中指定的时区名称中特殊字符的使用进行适当检查造成的。 该问题会影响将未经验证的外部数据传递到 TZInfo::Timezone.get 的应用程序。 例如,要读取文件 /tmp/payload,您可以指定一个类似“foo\n/../../../tmp/payload”的值。
来源: opennet.ru