CRITICAL🇬🇧 English

CVE-2023-51892

RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController

CVSS 9.8v3.1pub. 2024-01-20upd. 2026-07-05

Podatność w systemie Weaver E-Cology v.10.0.2310.01 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na maksymalny brak wymagań wstępnych (sieć, brak uwierzytelnienia, brak interakcji użytkownika) stanowi krytyczne zagrożenie dla organizacji korzystających z tego systemu.

Pokaż oryginał (EN)

An issue in weaver e-cology v.10.0.2310.01 allows a remote attacker to execute arbitrary code via a crafted script to the FrameworkShellController component.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowany skrypt do komponentu FrameworkShellController w aplikacji Weaver E-Cology. Komponent ten przetwarza przesłane dane w sposób niebezpieczny, co skutkuje wykonaniem dostarczonego kodu po stronie serwera. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a wektor sieciowy oznacza, że można go przeprowadzić zdalnie przez Internet.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem — w zakresie poufności, integralności oraz dostępności danych i systemu. Możliwe jest przejęcie systemu, kradzież danych, instalacja złośliwego oprogramowania lub dalszy lateral movement w sieci organizacji.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Producent dostępny pod adresem weaver.com.cn. Do czasu wdrożenia aktualizacji zaleca się ograniczenie dostępu do komponentu FrameworkShellController na poziomie firewall lub reverse proxy oraz izolację systemu od publicznego Internetu.

Kogo dotyczy

Weaver E-Cology w wersji 10.0.2310.01

Uwagi

W referencjach wskazano publiczny wpis na platformie GitHub (konto techniczne) zawierający szczegóły dotyczące podatności, co może ułatwić opracowanie exploitu przez atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Weaver E Cology

    APP
    Weaver
    10.0.2310.01
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-22679CRITICAL9.3PL ✓ten sam produkt

Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug

CVE-2024-48072CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych

CVE-2024-48069CRITICAL9.8PL ✓ten sam produkt

Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera

CVE-2024-48070CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie

CVE-2025-34038HIGH8.7ten sam produkt

A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...