### Vulnerabilidad RCE de Weaver E-cology Explotada Activamente Una vulnerabilidad de seguridad crítica en **Weaver** (Fanwei) E-cology, una plataforma de automatización de oficinas (OA) y colaboración empresarial, ha sido objeto de explotación activa en la naturaleza. La vulnerabilidad (**CVE-2026-22679**, CVSS score: 9.8) se relaciona con un caso de ejecución remota de código no autenticada que afecta a las versiones de **Weaver** E-cology 10.0 anteriores a 20260312. El problema reside en el endpoint "/papi/esearch/data/devops/dubboApi/debug/method" que permite a un atacante ejecutar comandos arbitrarios invocando la funcionalidad de depuración expuesta. Según la Base de Datos Nacional de Vulnerabilidades (NVD) del **NIST**, "Los atacantes pueden elaborar solicitudes POST con parámetros interfaceName y methodName controlados por el atacante para acceder a los ayudantes de ejecución de comandos y lograr la ejecución arbitraria de comandos en el sistema." ### Explotación Temprana y Actividad de Actores de Amenaza La **Shadowserver Foundation** observó los primeros indicios de explotación activa el 31 de marzo de 2026. Una alerta similar publicada por **QiAnXin** el 17 de marzo de 2026 reveló que el proveedor de seguridad chino pudo reproducir con éxito la vulnerabilidad de ejecución remota de código. Sin embargo, el **Vega Research Team** identificó la explotación activa de **CVE-2026-22679** mucho antes, con la evidencia más temprana de abuso que data del 17 de marzo de 2026, cinco días después de que se publicaran los parches. El investigador de seguridad Daniel Messing declaró: "La intrusión se desarrolló a lo largo de aproximadamente una semana de actividad del operador: verificación de RCE, tres intentos fallidos de descarga de payload, un intento de pivote a un implante MSI que no produjo una instalación funcional, y una breve ráfaga de intentos de recuperar payloads de PowerShell de infraestructura controlada por el atacante." ### Instalador MSI y Comandos de Descubrimiento El instalador MSI, según la empresa israelí de ciberseguridad, utilizó el nombre "fanwei0324.msi", lo que indica un intento de hacer pasar el payload malicioso como inofensivo utilizando el nombre romanizado chino de **Weaver**. También se ha observado que el actor de amenaza ejecuta comandos de descubrimiento, como `whoami`, `ipconfig` y `tasklist`, a lo largo de la campaña. ### Detección y Mitigación El investigador de seguridad Kerem Oruc ha puesto a disposición un script de detección basado en Python que identifica instancias vulnerables de **Weaver** E-cology comprobando si el endpoint de API susceptible es accesible. Se recomienda a los usuarios que apliquen las actualizaciones para mantenerse protegidos.