CRITICAL🇬🇧 English

CVE-2024-48069

Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera

CVSS 9.8v3.1pub. 2024-11-19upd. 2025-06-05

W systemie Weaver E-Cology wykryto krytyczną podatność typu race condition, która pozwala nieuwierzytelnionemu atakującemu ominąć mechanizmy bezpieczeństwa i przesłać złośliwe pliki na serwer. Skuteczne wykorzystanie podatności prowadzi do przejęcia pełnej kontroli nad serwerem.

Pokaż oryginał (EN)

A vulnerability was found in Weaver E-cology allows attackers use race conditions to bypass security mechanisms to upload malicious files and control server privileges

🤖 Analiza AI
Jak działa

Podatność (CWE-362) polega na wyścigu czasowym (race condition) w mechanizmie kontroli dostępu podczas przesyłania plików. Atakujący może wygrać ten wyścig i przesłać złośliwy plik zanim system zdąży zweryfikować jego dopuszczalność lub zastosować właściwe ograniczenia bezpieczeństwa. W efekcie plik trafia na serwer z pominięciem normalnych zabezpieczeń, co otwiera drogę do dalszej eskalacji uprawnień.

Skutki

Atakujący może przesłać złośliwe pliki (np. webshell) na serwer i uzyskać pełną kontrolę nad jego uprawnieniami, co w praktyce oznacza możliwość wykonywania dowolnych poleceń, kradzieży danych oraz dalszego ruchu w sieci (lateral movement).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu aplikacji wyłącznie do zaufanych adresów IP oraz monitorowanie prób przesyłania plików na serwerze.

Kogo dotyczy

Weaver E-Cology — wersje wskazane w referencjach producenta

Uwagi

Publiczny opis podatności wraz z materiałami technicznymi dostępny jest w serwisach GitHub/Gist (wskazane w referencjach). Brak przypisania do CISA KEV na dzień publikacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Weaver E Cology

    APP
    Weaver
    9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Race Condition
CWE
Referencje

Powiązane podatności

CVE-2026-22679CRITICAL9.3PL ✓ten sam produkt

Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug

CVE-2024-48072CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych

CVE-2024-48070CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie

CVE-2023-51892CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController

CVE-2025-34038HIGH8.7ten sam produkt

A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...