Uma vulnerabilidade crítica de segurança foi identificada na plataforma de automação de escritório Weaver E-cology, permitindo a execução remota de código sem autenticação. A falha, catalogada como CVE-2026-22679, afeta versões do software anteriores a 20260312 e possui uma pontuação CVSS de 9.8, indicando alta gravidade. O problema está no endpoint “/papi/esearch/data/devops/dubboApi/debug/method”, que permite a execução de comandos arbitrários por meio de funcionalidades de depuração expostas.
A Shadowserver Foundation detectou a exploração ativa dessa vulnerabilidade em 31 de março de 2026. A empresa de segurança chinesa QiAnXin conseguiu reproduzir a falha em 17 de março de 2026. Já o Vega Research Team relatou que a exploração ativa começou em 17 de março de 2026, apenas cinco dias após a liberação de patches para corrigir o problema.
O pesquisador de segurança Daniel Messing descreveu que a intrusão ocorreu ao longo de uma semana, incluindo verificação de execução de código remoto, tentativas falhas de instalação de payloads e esforços para obter payloads PowerShell de infraestruturas controladas por atacantes. Um instalador MSI malicioso, nomeado “fanwei0324.msi”, foi utilizado para disfarçar o payload como legítimo.
O pesquisador Kerem Oruc desenvolveu um script em Python para detectar instâncias vulneráveis do Weaver E-cology, verificando a acessibilidade do endpoint comprometido. É recomendado que os usuários apliquem as atualizações disponíveis para se protegerem contra essa ameaça.
Fonte:https://thehackernews.com/2026/05/weaver-e-cology-rce-flaw-cve-2026-22679.html
