Версии Weaver (Fanwei) E-cology 10.0 до 20260312 содержат уязвимость удаленного выполнения кода без проверки подлинности в конечной точке /papi/esearch/data/devops/dubboApi/debug/method, которая позволяет злоумышленникам выполнять произвольные команды, вызывая открытые функции отладки. Злоумышленники могут создавать POST-запросы с контролируемыми злоумышленниками параметрами InterfaceName и MethodName, чтобы добраться до помощников по выполнению команд и добиться выполнения произвольных команд в системе. Доказательства эксплуатации впервые были обнаружены Shadowserver Foundation 31 марта 2026 г. (UTC).
Показать оригинальное описание (EN)
Weaver (Fanwei) E-cology 10.0 versions prior to 20260312 contain an unauthenticated remote code execution vulnerability in the /papi/esearch/data/devops/dubboApi/debug/method endpoint that allows attackers to execute arbitrary commands by invoking exposed debug functionality. Attackers can craft POST requests with attacker-controlled interfaceName and methodName parameters to reach command-execution helpers and achieve arbitrary command execution on the system. Exploitation evidence was first observed by the Shadowserver Foundation on 2026-03-31 (UTC).
Характеристики атаки
Последствия
Строка CVSS v4.0