Katalog CVE

CVE-2026-22679

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Weaver (Fanwei) E-cology w wersjach przed 20260312 zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w punkcie końcowym /papi/esearch/data/devops/dubboApi/debug/method, co pozwala atakującym na wykonywanie dowolnych poleceń.

Ocena ryzyka

Podatność ta umożliwia atakującym zdalne przejęcie kontroli nad systemem, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji 20260312 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do punktu końcowego debugowania.

Oryginalny opis (angielski, źródło NVD)

Weaver (Fanwei) E-cology 10.0 versions prior to 20260312 contain an unauthenticated remote code execution vulnerability in the /papi/esearch/data/devops/dubboApi/debug/method endpoint that allows attackers to execute arbitrary commands by invoking exposed debug functionality. Attackers can craft POST requests with attacker-controlled interfaceName and methodName parameters to reach command-execution helpers and achieve arbitrary command execution on the system. Exploitation evidence was first observed by the Shadowserver Foundation on 2026-03-31 (UTC).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS