Des chercheurs du laboratoire de sécurité d'AntGroup FG ont découvert une vulnérabilité de sécurité critique permettant à un attaquant d'exécuter du code à distance dans le runtime d'une application Grails.

Grails est un framework d'application web open source basé sur le langage de programmation Apache Groovy et est utilisé pour développer des applications web agiles. Parmi ses clients figurent Google et IBM.

Suivie sous le nom de CVE-2022-35912, la faille permet à un acteur de la menace d'exécuter du code à distance dans une application Grails en émettant une requête web spécialement conçue qui lui donne accès au chargeur de classes.

L'attaque exploite une section de la logique de liaison de données de Grails, qui est appelée de plusieurs façons, notamment lors de la création d'objets de commande, de la construction de classes de domaine et de la liaison manuelle de données lors de l'utilisation de bindData.

La vulnérabilité a été détectée sur les versions 3.3.10 et supérieures du framework Grails, y compris les frameworks Grails 4 et 5, qui fonctionnent sous Java 8.

"En raison de la nature de cette vulnérabilité, nous suggérons fortement que toutes les applications Grails, y compris celles qui ne sont pas vulnérables à cette attaque spécifique, soient mises à jour vers une version corrigée de Grails", a indiqué l'équipe Grails dans son rapport.

L’entreprise recommande de mettre à jour les systèmes concernés vers l’une des versions corrigées 5.2.1, 5.1.9, 4.1.1 ou 3.3.15.