在 Grails Web 框架中,該框架專為在 Java、Groovy 和其他語言的 JVM 中按照 MVC 範式開發 Web 應用程式而設計,該框架中已發現一個漏洞,該漏洞可讓您在 Web 環境中遠端執行程式碼。應用程式正在運行。 該漏洞是透過發送特製請求來利用的,該請求使攻擊者能夠存取類別載入器。 該問題是由資料綁定邏輯中的缺陷引起的,該邏輯在建立物件和使用bindData手動綁定時都會使用。 該問題已在版本 3.3.15、4.1.1、5.1.9 和 5.2.1 中解決。
此外,我們還可以注意到 Ruby 模組 tzinfo 中存在一個漏洞,只要受攻擊應用程式的存取權限允許,您就可以透過該漏洞下載任何檔案的內容。 此漏洞是由於缺乏對 TZInfo::Timezone.get 方法中指定的時區名稱中特殊字元的使用進行適當檢查所造成的。 該問題會影響將未經驗證的外部資料傳遞到 TZInfo::Timezone.get 的應用程式。 例如,要讀取檔案 /tmp/payload,您可以指定一個類似「foo\n/../../../tmp/payload」的值。
來源: opennet.ru