Una vulnerabilidad de seguridad crítica en Weaver (Fanwei) E-cology, una plataforma de colaboración y automatización de oficinas empresariales (OA), ha sido explotada en estado salvaje.
Esta vulnerabilidad (CVE-2026-22679, puntuación CVSS: 9,8) está relacionada con un caso de ejecución remota de código no autenticado que afecta a las versiones de Weaver E-cology 10.0 anteriores a 20260312. El problema existe en el punto final «/papi/esearch/data/devops/dubboApi/debug/method», que permite la ejecución por parte de un atacante. Puede invocar la funcionalidad de depuración expuesta para ejecutar comandos arbitrarios.
Según la descripción de la falla en la Base de datos nacional de vulnerabilidades (NVD) del NIST, «Un atacante puede crear una solicitud POST con parámetros de nombre de interfaz y nombre de método controlados por el atacante para llegar al asistente de ejecución de comandos y ejecutar comandos arbitrarios en el sistema».
El aviso también señala que la Fundación Shadowserver observó los primeros signos de explotación activa el 31 de marzo de 2026. El proveedor de seguridad chino QiAnXin dice que ha reproducido con éxito una vulnerabilidad de ejecución remota de código en su alerta publicada el 17 de marzo de 2026.
Sin embargo, en un informe publicado la semana pasada, el equipo de investigación de Vega dijo que había identificado una explotación activa de CVE-2026-22679, y que la evidencia más temprana de explotación se remonta al 17 de marzo de 2026, cinco días después de que se enviara un parche para la falla.
El investigador de seguridad Daniel Messing dijo: «La intrusión se desarrolló durante aproximadamente una semana de actividad del operador: validación de RCE, tres lanzamientos fallidos de carga útil, un intento de pivotar hacia un implante MSI que no produjo una instalación funcional y breves ráfagas de intentos de obtener cargas útiles de PowerShell de la infraestructura controlada por el atacante».
Según la firma israelí de ciberseguridad, el instalador de MSI utiliza el nombre «fanwei0324.msi», lo que indica un intento de romanizar el nombre chino de Weaver para disfrazar la carga maliciosa como inofensiva. También se ha observado que atacantes desconocidos ejecutan comandos de descubrimiento como whoami, ipconfig y tasklist durante la campaña.
El investigador de seguridad Kerem Oruc publicó un script de detección basado en Python que identifica instancias vulnerables de Weaver E-cology comprobando si los puntos finales API susceptibles son accesibles. Para mantenerse protegido, le recomendamos aplicar actualizaciones si aún no lo ha hecho.
Source link
