W aplikacji Weaver E-Cology w wersji 9.x odkryto podatność typu SQL injection, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań SQL. Podatność jest krytyczna — nie wymaga żadnych uprawnień ani interakcji użytkownika.
▸ Pokaż oryginał (EN)
Weaver Ecology v9.* was discovered to contain a SQL injection vulnerability via the component /mobilemode/Action.jsp?invoker=com.weaver.formmodel.mobile.mec.servlet.MECAction&action=getFieldTriggerValue&searchField=*&fromTable=HrmResourceManager&whereClause=1%3d1&triggerCondition=1&expression=%3d&fieldValue=1.
Podatność występuje w komponencie dostępnym pod ścieżką /mobilemode/Action.jsp, konkretnie w wywołaniu akcji getFieldTriggerValue z parametrem whereClause oraz powiązanymi parametrami zapytania (fromTable, triggerCondition, expression, fieldValue). Atakujący może wstrzyknąć złośliwy kod SQL bezpośrednio przez żądanie HTTP GET, manipulując niesanityzowanymi parametrami przekazywanymi do bazy danych. Brak walidacji danych wejściowych po stronie serwera pozwala na dowolne modyfikowanie logiki zapytań SQL wykonywanych w kontekście aplikacji.
Atakujący bez żadnego uwierzytelnienia może odczytać, zmodyfikować lub usunąć dane z bazy danych aplikacji, w tym potencjalnie poufne dane kadrowe i organizacyjne. W zależności od konfiguracji serwera bazy danych możliwe jest również przejęcie kontroli nad systemem.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe obejście zaleca się ograniczenie dostępu sieciowego do podatnego endpointu /mobilemode/Action.jsp oraz monitorowanie ruchu pod kątem prób eksploitacji.
Weaver E-Cology w wersji 9.x (v9.*)
W referencjach dostępny jest publiczny proof-of-concept (gist.github.com) oraz dokument z opisem exploitu (GitHub), co znacząco zwiększa ryzyko wykorzystania podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HWeaver E Cology
APPWeaver8.09.0
Powiązane podatności
Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug
RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie
Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera
RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController
A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...