Krytyczna luka RCE w Weaver E-cology 10.0 przed wersją 20260312
Krytyczna luka zdalnego wykonania kodu w Weaver E-cology 10.0 przed wersją 20260312. Zalecana szybka aktualizacja i ograniczenie dostępu do endpointu debug.
- CVSS
- 9.3 CRITICAL
- EPSS
- 97.31%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- e-cology
Co wiadomo
W oprogramowaniu Weaver E-cology 10.0 przed wersją 20260312 wykryto krytyczną lukę umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia poprzez endpoint debugujący. Atakujący mogą wysyłać spreparowane żądania POST, aby wykonać dowolne polecenia na systemie.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.3) pozwala na przejęcie kontroli nad systemem bez konieczności uwierzytelniania, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Operatorzy IT powinni traktować tę podatność priorytetowo, zwłaszcza w środowiskach produkcyjnych, gdzie dostęp do endpointu debugującego jest możliwy z sieci publicznej.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie oprogramowania do wersji po 20260312 udostępnionej przez producenta. W przypadku braku możliwości natychmiastowej aktualizacji należy ograniczyć dostęp do podatnego endpointu, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić przegląd konfiguracji zabezpieczeń. Priorytetowo traktuj działania minimalizujące ryzyko wykorzystania tej luki.