Podatność w systemie Weaver E-Cology v.10.0.2310.01 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na maksymalny brak wymagań wstępnych (sieć, brak uwierzytelnienia, brak interakcji użytkownika) stanowi krytyczne zagrożenie dla organizacji korzystających z tego systemu.
▸ Pokaż oryginał (EN)
An issue in weaver e-cology v.10.0.2310.01 allows a remote attacker to execute arbitrary code via a crafted script to the FrameworkShellController component.
Atakujący wysyła specjalnie spreparowany skrypt do komponentu FrameworkShellController w aplikacji Weaver E-Cology. Komponent ten przetwarza przesłane dane w sposób niebezpieczny, co skutkuje wykonaniem dostarczonego kodu po stronie serwera. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor sieciowy oznacza, że można go przeprowadzić zdalnie przez Internet.
Atakujący może uzyskać pełną kontrolę nad serwerem — w zakresie poufności, integralności oraz dostępności danych i systemu. Możliwe jest przejęcie systemu, kradzież danych, instalacja złośliwego oprogramowania lub dalszy lateral movement w sieci organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent dostępny pod adresem weaver.com.cn. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu do komponentu FrameworkShellController na poziomie firewall lub reverse proxy oraz izolację systemu od publicznego Internetu.
Weaver E-Cology w wersji 10.0.2310.01
W referencjach wskazano publiczny wpis na platformie GitHub (konto techniczne) zawierający szczegóły dotyczące podatności, co może ułatwić opracowanie exploitu przez atakujących.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HWeaver E Cology
APPWeaver10.0.2310.01
Powiązane podatności
Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug
SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych
Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera
RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie
A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...