Una vulnerabilidad de seguridad crítica en Weaver (Fanwei) E-cology, una plataforma de colaboración y automatización de oficinas empresariales (OA), ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad (CVE-2026-22679puntuación CVSS: 9,8) se relaciona con un caso de ejecución remota de código no autenticado que afecta a las versiones de Weaver E-cology 10.0 anteriores a 20260312. El problema reside en el punto final «/papi/esearch/data/devops/dubboApi/debug/method» que permite a un atacante ejecutar comandos arbitrarios invocando la funcionalidad de depuración expuesta.
«Los atacantes pueden crear solicitudes POST con parámetros de nombre de interfaz y nombre de método controlados por el atacante para llegar a los ayudantes de ejecución de comandos y lograr la ejecución de comandos arbitrarios en el sistema», según una descripción de la falla en la Base de datos nacional de vulnerabilidad (NVD) del NIST.
El aviso también señaló que la Fundación Shadowserver observó los primeros signos de explotación activa el 31 de marzo de 2026. El proveedor de seguridad chino QiAnXin dijo que pudo reproducir con éxito la vulnerabilidad de ejecución remota de código en su propia alerta publicada el 17 de marzo de 2026.
Sin embargo, en un informe publicado la semana pasada, el equipo de investigación de Vega dijo que identificó una explotación activa de CVE-2026-22679, y que la evidencia más temprana de abuso se remonta al 17 de marzo de 2026, cinco días después de que se enviaron los parches para la falla.
«La intrusión se desarrolló durante aproximadamente una semana de actividad del operador: verificación RCE, tres caídas de carga útil fallidas, un intento de pivotar hacia un implante MSI que no produjo una instalación funcional y una breve ráfaga de intentos de recuperar cargas útiles de PowerShell de la infraestructura controlada por el atacante», dijo el investigador de seguridad Daniel Messing.
El instalador de MSI, según la empresa de ciberseguridad israelí, utilizó el nombre «fanwei0324.msi», lo que indica un intento de hacer pasar la carga maliciosa como inofensiva utilizando el nombre chino romanizado de Weaver. También se ha observado al actor de amenazas desconocido ejecutando comandos de descubrimiento, como whoami, ipconfig y tasklist, durante toda la campaña.
El investigador de seguridad Kerem Oruc ha puesto a disposición un script de detección basado en Python que identifica instancias vulnerables de Weaver E-cology comprobando si el punto final API susceptible es accesible. Se recomienda a los usuarios que apliquen las actualizaciones, si aún no lo están, para mantenerse protegidos.