Weaver E-Cology 10.0 w wersjach przed 20260312 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad serwerem, wykonując dowolne polecenia systemowe.
▸ Pokaż oryginał (EN)
Weaver (Fanwei) E-cology 10.0 versions prior to 20260312 contain an unauthenticated remote code execution vulnerability in the /papi/esearch/data/devops/dubboApi/debug/method endpoint that allows attackers to execute arbitrary commands by invoking exposed debug functionality. Attackers can craft POST requests with attacker-controlled interfaceName and methodName parameters to reach command-execution helpers and achieve arbitrary command execution on the system. Exploitation evidence was first observed by the Shadowserver Foundation on 2026-03-31 (UTC).
Podatność dotyczy endpointu /papi/esearch/data/devops/dubboApi/debug/method, który udostępnia funkcjonalność diagnostyczną (debug) bez jakiegokolwiek mechanizmu uwierzytelnienia (CWE-306: Missing Authentication for Critical Function). Atakujący wysyła spreparowane żądanie HTTP POST z kontrolowanymi przez siebie parametrami interfaceName oraz methodName. Parametry te trafiają do wewnętrznych helperów wykonujących polecenia systemowe, co prowadzi do wykonania dowolnych komend na serwerze.
Atakujący bez żadnych uprawnień może wykonać dowolne polecenia systemowe na serwerze, co oznacza pełne przejęcie kontroli nad systemem, w tym możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz dalszego ruchu w sieci (lateral movement).
Należy niezwłocznie zaktualizować Weaver E-Cology 10.0 do wersji 20260312 lub nowszej, zgodnie z patchem opublikowanym przez producenta pod adresem https://www.weaver.com.cn/cs/securityDownload.html. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do podatnego endpointu (/papi/esearch/data/devops/dubboApi/debug/method) za pomocą firewalla lub reguł WAF.
Weaver (Fanwei) E-Cology 10.0 w wersjach wcześniejszych niż 20260312
Pomimo braku wpisu w CISA KEV, Shadowserver Foundation odnotowała pierwsze dowody aktywnej eksploatacji tej podatności w środowiskach produkcyjnych w dniu 2026-03-31 (UTC), jeszcze przed oficjalną publikacją CVE.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XWeaver E Cology
APPWeaver< 20260312
Powiązane podatności
Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera
SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych
RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie
RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController
A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...