2026-05-05 00:00
← VoltarUma vulnerabilidade crítica de segurança na Weaver (Fanwei)E-cology, uma plataforma corporativa de automação de escritório (OA) e colaboração, está sob exploração ativa em estado selvagem. A vulnerabilidade (CVE-2026-22679, pontuação CVSS: 9,8) está relacionada a um caso de execução remota de código não autenticado que afeta as versões do Weaver E-cology 10.0 anteriores a 20260312. O problema reside no endpoint "/papi/esearch/data/devops/dubboApi/debug/method" que permite que um invasor execute comandos arbitrários invocando a funcionalidade de depuração exposta. “Os invasores podem criar solicitações POST com parâmetros interfaceName e methodName controlados pelo invasor para alcançar auxiliares de execução de comandos e obter execução arbitrária de comandos no sistema”, de acordo com uma descrição da falha no NIST National Vulnerability Database (NVD). O comunicado também observou que a Shadowserver Foundation observou os primeiros sinais de exploração ativa em 31 de março de 2026. Um alerta semelhante publicado pela QiAnXin em 17 de março de 2026 revelou que o fornecedor de segurança chinês foi capaz de reproduzir com sucesso a vulnerabilidade de execução remota de código sem compartilhar mais detalhes. No entanto, em um relatório publicado na semana passada, a equipe de pesquisa da Vega disse que identificou a exploração ativa do CVE-2026-22679 muito antes, com as primeiras evidências de abuso datando de 17 de março de 2026, cinco dias após o envio dos patches para a...
Uma vulnerabilidade crítica de segurança na Weaver (Fanwei)E-cology, uma plataforma corporativa de automação de escritório (OA) e colaboração, está sob exploração ativa em estado selvagem. A vulnerabilidade (CVE-2026-22679, pontuação CVSS: 9,8) está relacionada a um caso de execução remota de código não autenticado que afeta as versões do Weaver E-cology 10.0 anteriores a 20260312. O problema reside no endpoint "/papi/esearch/data/devops/dubboApi/debug/method" que permite que um invasor execute comandos arbitrários invocando a funcionalidade de depuração exposta. “Os invasores podem criar solicitações POST com parâmetros interfaceName e methodName controlados pelo invasor para alcançar auxiliares de execução de comandos e obter execução arbitrária de comandos no sistema”, de acordo com uma descrição da falha no NIST National Vulnerability Database (NVD). O comunicado também observou que a Shadowserver Foundation observou os primeiros sinais de exploração ativa em 31 de março de 2026. Um alerta semelhante publicado pela QiAnXin em 17 de março de 2026 revelou que o fornecedor de segurança chinês foi capaz de reproduzir com sucesso a vulnerabilidade de execução remota de código sem compartilhar mais detalhes. No entanto, em um relatório publicado na semana passada, a equipe de pesquisa da Vega disse que identificou a exploração ativa do CVE-2026-22679 muito antes, com as primeiras evidências de abuso datando de 17 de março de 2026, cinco dias após o envio dos patches para a falha. “A intrusão se desenrolou ao longo de aproximadamente uma semana de atividade do operador: verificação RCE, três quedas de carga útil com falha, uma tentativa de pivotar um implante MSI que não produziu uma instalação funcional e uma pequena série de tentativas de recuperar cargas úteis do PowerShell da infraestrutura controlada pelo invasor”, disse o pesquisador de segurança Daniel Messing.
O instalador do MSI, de acordo com a empresa israelense de segurança cibernética, usou o nome “fanwei0324.msi”, indicando uma tentativa de passar a carga maliciosa como inofensiva usando o nome chinês romanizado para Weaver. O ator desconhecido da ameaça também foi observado executando comandos de descoberta, como whoami, ipconfig e tasklist, durante a campanha. O pesquisador de segurança Kerem Oruc disponibilizou um script de detecção baseado em Python que identifica instâncias vulneráveis do Weaver E-cology, verificando se o endpoint da API suscetível está acessível. Os usuários são aconselhados a aplicar as atualizações, se ainda não o fizeram, para permanecerem protegidos. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.