W systemie Weaver E-Cology wykryto krytyczną podatność typu race condition, która pozwala nieuwierzytelnionemu atakującemu ominąć mechanizmy bezpieczeństwa i przesłać złośliwe pliki na serwer. Skuteczne wykorzystanie podatności prowadzi do przejęcia pełnej kontroli nad serwerem.
▸ Pokaż oryginał (EN)
A vulnerability was found in Weaver E-cology allows attackers use race conditions to bypass security mechanisms to upload malicious files and control server privileges
Podatność (CWE-362) polega na wyścigu czasowym (race condition) w mechanizmie kontroli dostępu podczas przesyłania plików. Atakujący może wygrać ten wyścig i przesłać złośliwy plik zanim system zdąży zweryfikować jego dopuszczalność lub zastosować właściwe ograniczenia bezpieczeństwa. W efekcie plik trafia na serwer z pominięciem normalnych zabezpieczeń, co otwiera drogę do dalszej eskalacji uprawnień.
Atakujący może przesłać złośliwe pliki (np. webshell) na serwer i uzyskać pełną kontrolę nad jego uprawnieniami, co w praktyce oznacza możliwość wykonywania dowolnych poleceń, kradzieży danych oraz dalszego ruchu w sieci (lateral movement).
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się również ograniczenie dostępu sieciowego do interfejsu aplikacji wyłącznie do zaufanych adresów IP oraz monitorowanie prób przesyłania plików na serwerze.
Weaver E-Cology — wersje wskazane w referencjach producenta
Publiczny opis podatności wraz z materiałami technicznymi dostępny jest w serwisach GitHub/Gist (wskazane w referencjach). Brak przypisania do CISA KEV na dzień publikacji.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HWeaver E Cology
APPWeaver9.0
Powiązane podatności
Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug
SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych
RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie
RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController
A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...