CRITICAL🇬🇧 English

CVE-2024-48072

SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych

CVSS 9.8v3.1pub. 2024-11-19upd. 2025-06-05

W aplikacji Weaver E-Cology w wersji 9.x odkryto podatność typu SQL injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL. Podatność jest krytyczna — nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

Weaver Ecology v9.* was discovered to contain a SQL injection vulnerability via the component /mobilemode/Action.jsp?invoker=com.weaver.formmodel.mobile.mec.servlet.MECAction&action=getFieldTriggerValue&searchField=*&fromTable=HrmResourceManager&whereClause=1%3d1&triggerCondition=1&expression=%3d&fieldValue=1.

🤖 Analiza AI
Jak działa

Podatność występuje w komponencie dostępnym pod ścieżką /mobilemode/Action.jsp, konkretnie w wywołaniu akcji getFieldTriggerValue z parametrem whereClause oraz powiązanymi parametrami zapytania (fromTable, triggerCondition, expression, fieldValue). Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio przez żądanie HTTP GET, manipulując niesanityzowanymi parametrami przekazywanymi do bazy danych. Brak walidacji danych wejściowych po stronie serwera pozwala na dowolne modyfikowanie logiki zapytań SQL wykonywanych w kontekście aplikacji.

Skutki

Atakujący bez żadnego uwierzytelnienia może odczytać, zmodyfikować lub usunąć dane z bazy danych aplikacji, w tym potencjalnie poufne dane kadrowe i organizacyjne. W zależności od konfiguracji serwera bazy danych możliwe jest również przejęcie kontroli nad systemem.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe obejście zaleca się ograniczenie dostępu sieciowego do podatnego endpointu /mobilemode/Action.jsp oraz monitorowanie ruchu pod kątem prób eksploitacji.

Kogo dotyczy

Weaver E-Cology w wersji 9.x (v9.*)

Uwagi

W referencjach dostępny jest publiczny proof-of-concept (gist.github.com) oraz dokument z opisem exploitu (GitHub), co znacząco zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Weaver E Cology

    APP
    Weaver
    8.09.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-22679CRITICAL9.3PL ✓ten sam produkt

Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug

CVE-2024-48070CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie

CVE-2024-48069CRITICAL9.8PL ✓ten sam produkt

Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera

CVE-2023-51892CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController

CVE-2025-34038HIGH8.7ten sam produkt

A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...

CVE-2024-48072 — SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych — CRITICAL 9.8 | CVEbaza.pl