CRITICAL🇬🇧 English

CVE-2024-48070

RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie

CVSS 9.8v3.1pub. 2024-11-19upd. 2025-06-05

Podatność w systemie Weaver E-Cology umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwego kodu poprzez spreparowane żądanie sieciowe. Ze względu na brak wymagań dotyczących uwierzytelnienia oraz pełną kontrolę nad serwerem, podatność jest oceniana jako krytyczna.

Pokaż oryginał (EN)

An issue in Weaver E-cology v. attackers construct special requests to insert remote malicious code and to trigger malicious code execution, and control server privileges

🤖 Analiza AI
Jak działa

Atakujący konstruuje specjalnie spreparowane żądanie HTTP, które pozwala na wstrzyknięcie zdalnego złośliwego kodu do aplikacji (CWE-94 — code injection). Po wstrzyknięciu kodu dochodzi do jego wykonania w kontekście serwera aplikacyjnego. W efekcie atakujący może przejąć uprawnienia systemowe serwera bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem, w tym wykonywać dowolne polecenia systemowe, odczytywać i modyfikować dane oraz potencjalnie przejąć całą infrastrukturę. Podatność umożliwia naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu do interfejsu aplikacji wyłącznie do zaufanych sieci oraz wdrożenie reguł firewall blokujących nieautoryzowany dostęp zewnętrzny.

Kogo dotyczy

Weaver E-Cology — konkretne wersje wskazane w referencjach producenta

Uwagi

Dostępne są publiczne materiały techniczne (proof-of-concept) pod adresami wskazanymi w referencjach, co istotnie zwiększa ryzyko wykorzystania podatności w środowiskach produkcyjnych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Weaver E Cology

    APP
    Weaver
    9.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-22679CRITICAL9.3PL ✓ten sam produkt

Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug

CVE-2024-48072CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych

CVE-2024-48069CRITICAL9.8PL ✓ten sam produkt

Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera

CVE-2023-51892CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController

CVE-2025-34038HIGH8.7ten sam produkt

A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...