CVE-2026-22679: Критична вразливість віддаленого виконання коду в Weaver E-cology
Критична вразливість CVE-2026-22679 у Weaver E-cology 10.0 дозволяє віддалене виконання коду без автентифікації. Рекомендується термінове оновлення та обмеження доступу.
- CVSS
- 9.3 CRITICAL
- EPSS
- 97.31%
- Активно використовується
- немає в KEV
- Продукт
- e-cology
Що відомо
У версіях Weaver E-cology 10.0 до 20260312 виявлено критичну вразливість віддаленого виконання коду без автентифікації через кінцеву точку /papi/esearch/data/devops/dubboApi/debug/method. Зловмисники можуть надсилати спеціально сформовані POST-запити для запуску довільних команд на системі.
Бізнес-вплив
Ця вразливість дозволяє віддаленим атакам без автентифікації виконувати довільний код на сервері, що може призвести до повного контролю над інфраструктурою, витоку даних або порушення роботи сервісів. Для операторів ІТ та власників інфраструктури це означає високий ризик компрометації системи та необхідність термінового реагування.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень або патчів від виробника Weaver для E-cology 10.0 та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до вразливої кінцевої точки, провести аудит логів на ознаки експлуатації та підвищити моніторинг системи. Пріоритетом має бути мінімізація експозиції сервісу в мережі.