### Vulnerabilidade RCE em Weaver E-cology Explorada Ativamente Uma vulnerabilidade de segurança crítica no **Weaver** (Fanwei) E-cology, uma plataforma de automação de escritório (OA) e colaboração empresarial, passou a ser explorada ativamente na natureza. A vulnerabilidade (**CVE-2026-22679**, CVSS score: 9.8) está relacionada a um caso de execução remota de código não autenticada afetando versões do **Weaver** E-cology 10.0 anteriores a 20260312. O problema reside no endpoint "/papi/esearch/data/devops/dubboApi/debug/method", que permite a um atacante executar comandos arbitrários ao invocar funcionalidades de depuração expostas. De acordo com o **NIST** National Vulnerability Database (NVD), "Atacantes podem criar requisições POST com parâmetros interfaceName e methodName controlados pelo atacante para alcançar auxiliares de execução de comando e obter execução arbitrária de comando no sistema." ### Exploração Antecipada e Atividade de Atores de Ameaça A **Shadowserver Foundation** observou os primeiros sinais de exploração ativa em 31 de março de 2026. Um alerta semelhante publicado pela **QiAnXin** em 17 de março de 2026 revelou que o fornecedor de segurança chinês conseguiu reproduzir com sucesso a vulnerabilidade de execução remota de código. No entanto, a **Vega Research Team** identificou exploração ativa da **CVE-2026-22679** muito antes, com as primeiras evidências de abuso datando de 17 de março de 2026, cinco dias após o lançamento dos patches. O pesquisador de segurança Daniel Messing declarou: "A intrusão se desenrolou ao longo de aproximadamente uma semana de atividade do operador: verificação de RCE, três tentativas falhas de download de payload, uma tentativa de pivot para um implante MSI que não produziu uma instalação funcional e um breve surto de tentativas de recuperar payloads PowerShell de infraestrutura controlada pelo atacante." ### Instalador MSI e Comandos de Descoberta O instalador MSI, de acordo com a empresa israelense de cibersegurança, usou o nome "fanwei0324.msi", indicando uma tentativa de disfarçar o payload malicioso como inofensivo usando o nome romanizado chinês para **Weaver**. O ator de ameaça também foi observado executando comandos de descoberta, como `whoami`, `ipconfig` e `tasklist`, durante a campanha. ### Detecção e Mitigação O pesquisador de segurança Kerem Oruc disponibilizou um script de detecção baseado em Python que identifica instâncias vulneráveis do **Weaver** E-cology verificando se o endpoint de API suscetível está acessível. Os usuários são aconselhados a aplicar as atualizações para permanecerem protegidos.