CRITICAL🇬🇧 English

CVE-2026-22679

Nieuwierzytelniony RCE w Weaver E-Cology przez endpoint DubboAPI debug

CVSS 9.3v4.0pub. 2026-04-07upd. 2026-05-05

Weaver E-Cology 10.0 w wersjach przed 20260312 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad serwerem, wykonując dowolne polecenia systemowe.

Pokaż oryginał (EN)

Weaver (Fanwei) E-cology 10.0 versions prior to 20260312 contain an unauthenticated remote code execution vulnerability in the /papi/esearch/data/devops/dubboApi/debug/method endpoint that allows attackers to execute arbitrary commands by invoking exposed debug functionality. Attackers can craft POST requests with attacker-controlled interfaceName and methodName parameters to reach command-execution helpers and achieve arbitrary command execution on the system. Exploitation evidence was first observed by the Shadowserver Foundation on 2026-03-31 (UTC).

🤖 Analiza AI
Jak działa

Podatność dotyczy endpointu /papi/esearch/data/devops/dubboApi/debug/method, który udostępnia funkcjonalność diagnostyczną (debug) bez jakiegokolwiek mechanizmu uwierzytelnienia (CWE-306: Missing Authentication for Critical Function). Atakujący wysyła spreparowane żądanie HTTP POST z kontrolowanymi przez siebie parametrami interfaceName oraz methodName. Parametry te trafiają do wewnętrznych helperów wykonujących polecenia systemowe, co prowadzi do wykonania dowolnych komend na serwerze.

Skutki

Atakujący bez żadnych uprawnień może wykonać dowolne polecenia systemowe na serwerze, co oznacza pełne przejęcie kontroli nad systemem, w tym możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania oraz dalszego ruchu w sieci (lateral movement).

Mitygacja

Należy niezwłocznie zaktualizować Weaver E-Cology 10.0 do wersji 20260312 lub nowszej, zgodnie z patchem opublikowanym przez producenta pod adresem https://www.weaver.com.cn/cs/securityDownload.html. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do podatnego endpointu (/papi/esearch/data/devops/dubboApi/debug/method) za pomocą firewalla lub reguł WAF.

Kogo dotyczy

Weaver (Fanwei) E-Cology 10.0 w wersjach wcześniejszych niż 20260312

Uwagi

Pomimo braku wpisu w CISA KEV, Shadowserver Foundation odnotowała pierwsze dowody aktywnej eksploatacji tej podatności w środowiskach produkcyjnych w dniu 2026-03-31 (UTC), jeszcze przed oficjalną publikacją CVE.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Weaver E Cology

    APP
    Weaver
    < 20260312
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-48069CRITICAL9.8PL ✓ten sam produkt

Weaver E-Cology: Race Condition umożliwiający upload złośliwych plików i przejęcie serwera

CVE-2024-48072CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Weaver E-Cology v9 — nieautoryzowany dostęp do bazy danych

CVE-2024-48070CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — zdalne wykonanie kodu przez spreparowane żądanie

CVE-2023-51892CRITICAL9.8PL ✓ten sam produkt

RCE w Weaver E-Cology — wykonanie kodu przez FrameworkShellController

CVE-2025-34038HIGH8.7ten sam produkt

A SQL injection vulnerability exists in Weaver E-cology 8.0 via the getdata.jsp endpoint. The application dire...