A vulnerabilidade CVE-2026-22679 afeta instâncias do Weaver E-cology 10.0 anteriores a 20260312 e já foi usada para validar execução de comandos, tentar entrega de payloads, executar reconhecimento local e buscar cargas PowerShell.
| Componente | Weaver E-cology 10.0, plataforma corporativa de automação de escritório e colaboração, no endpoint /papi/esearch/data/devops/dubboApi/debug/method. |
| Vetor | Requisições POST não autenticadas ao endpoint de depuração, com parâmetros controlados pelo atacante como interfaceName e methodName. |
| Impacto | Execução remota de comandos no sistema vulnerável, com exploração ativa observada em ambiente real e pontuação CVSS 9.8. |
| Prioridade | Atualizar instâncias do Weaver E-cology 10.0 para versão 20260312 ou posterior e investigar acessos ao endpoint de depuração. |
| Versões | Weaver E-cology 10.0 anterior a 20260312. |
| Artefatos | Endpoint /papi/esearch/data/devops/dubboApi/debug/method, parâmetros interfaceName e methodName, instalador fanwei0324.msi, comandos whoami, ipconfig e tasklist. |
| Mitigação | Aplicar a correção disponível, restringir exposição externa do endpoint vulnerável, revisar logs HTTP e validar se houve tentativa de execução de comandos ou download de payloads. |
A vulnerabilidade CVE-2026-22679 é uma falha crítica de execução remota de código no Weaver E-cology 10.0, uma plataforma de automação de escritório e colaboração usada em ambientes corporativos. O problema afeta versões anteriores a 20260312 e recebeu pontuação CVSS 9.8, o que reflete a combinação de acesso remoto, ausência de autenticação como pré-condição e impacto direto sobre a execução de comandos no servidor. O ponto sensível está no endpoint /papi/esearch/data/devops/dubboApi/debug/method, uma superfície de depuração exposta que permite acionar funcionalidades internas por meio de parâmetros enviados pelo cliente. Em uma instância vulnerável, uma requisição POST construída com valores controlados pelo atacante em interfaceName e methodName pode alcançar rotinas auxiliares capazes de executar comandos no sistema operacional.
A exploração ativa foi associada a uma sequência operacional que começou com validação da execução remota de código e avançou para tentativas de entrega de payloads. A atividade observada incluiu três tentativas malsucedidas de gravar ou baixar cargas, uma tentativa de transição para um implante distribuído por MSI que não resultou em instalação funcional e uma pequena sequência de requisições para obter payloads PowerShell a partir de infraestrutura controlada pelo atacante. O instalador usado nessa etapa recebeu o nome fanwei0324.msi, escolha que sugere tentativa de fazer o arquivo parecer relacionado ao ecossistema do próprio fornecedor, usando a romanização chinesa associada ao nome Weaver. Também houve execução de comandos de reconhecimento como whoami, ipconfig e tasklist, sinais compatíveis com validação de contexto, identificação de usuário efetivo, enumeração de rede e levantamento de processos antes de uma possível ação posterior.
O fluxo de ataque depende da exposição do endpoint /papi/esearch/data/devops/dubboApi/debug/method em uma versão vulnerável do Weaver E-cology 10.0. A falha não exige credenciais no cenário descrito: o atacante envia uma requisição POST diretamente para a rota de depuração e manipula os campos interfaceName e methodName para acionar métodos internos além do uso esperado. A condição perigosa está na presença de uma interface de debug acessível em produção, porque esse tipo de mecanismo costuma existir para inspeção, teste ou chamada dinâmica de métodos durante desenvolvimento e suporte. Quando essa superfície é exposta sem validação de autenticação, autorização e escopo de método, ela se transforma em um invocador remoto para lógica sensível do servidor.
A cadeia observada começa com testes de execução. Nessa fase, comandos como whoami confirmam o usuário sob o qual o processo do Weaver E-cology está rodando, enquanto ipconfig fornece detalhes de endereçamento, interfaces e possível segmentação interna. O comando tasklist permite mapear processos ativos, identificar ferramentas de segurança, serviços de aplicação e possíveis alvos de injeção ou persistência. Depois da confirmação de execução, o operador tentou mover a atividade para entrega de payloads, mas as primeiras tentativas falharam. A etapa seguinte envolveu o arquivo fanwei0324.msi, indicando uma tentativa de instalar um componente persistente ou um implante empacotado para Windows. A instalação não foi concluída com sucesso no caso observado, mas a tentativa é suficiente para orientar a resposta defensiva: qualquer ambiente com requisições exploratórias para a rota vulnerável deve ser tratado como potencialmente exposto a execução de comandos, mesmo quando não houver confirmação de persistência.
Outro elemento técnico é a tentativa de recuperar payloads PowerShell. Embora não haja domínio, URL completa, hash ou conteúdo de script confirmado no material disponível, o padrão de buscar cargas PowerShell após RCE é relevante para investigação porque esse tipo de execução frequentemente aparece em logs de criação de processo como powershell.exe ou comandos associados a download remoto, execução em memória, desativação de políticas de execução ou invocação de conteúdo por cadeia de texto. O dado confirmado é a tentativa de recuperação, não a execução bem-sucedida de uma carga específica. Portanto, a análise deve separar sinais de exploração do endpoint, sinais de comando local e sinais de instalação ou download, evitando concluir comprometimento completo sem evidência em endpoint, rede ou logs da aplicação.
A superfície diretamente afetada é qualquer instância do Weaver E-cology 10.0 anterior a 20260312 que exponha a rota /papi/esearch/data/devops/dubboApi/debug/method a redes não confiáveis, incluindo internet, extranet de parceiros, VPNs amplas, segmentos corporativos com muitos usuários ou redes internas onde um atacante já tenha acesso inicial. A falha é especialmente crítica quando o serviço está publicado sem filtragem de caminho no proxy reverso, sem controle de origem, sem autenticação de camada intermediária e sem monitoramento detalhado de corpo de requisição. Por envolver um endpoint de depuração, a presença desse caminho em produção deve ser considerada anômala ou, no mínimo, de alto risco operacional.
O impacto real depende dos privilégios do processo da aplicação, da configuração do sistema operacional, da capacidade de saída para internet e das permissões disponíveis para escrita em disco, criação de processos e instalação de pacotes. Se o serviço roda com privilégios elevados, o efeito da RCE pode se aproximar de controle amplo do host. Se roda com uma conta restrita, o atacante ainda pode obter execução dentro do contexto da aplicação, ler variáveis de ambiente acessíveis, consultar arquivos permitidos ao usuário do processo, mapear conectividade interna e tentar movimentação lateral. Mesmo tentativas de exploração sem payload funcional devem ser preservadas para perícia, porque os comandos de reconhecimento podem revelar que o servidor respondeu a instruções remotas.
- Instâncias do Weaver E-cology 10.0 anteriores a
20260312com acesso ao endpoint/papi/esearch/data/devops/dubboApi/debug/method. - Servidores em que requisições
POSTexternas alcançam rotas internas de depuração sem autenticação ou filtragem no proxy. - Ambientes Windows nos quais apareçam tentativas de execução de
fanwei0324.msiou criação de processos relacionados awhoami,ipconfig,taskliste PowerShell a partir do contexto da aplicação. - Implantações com saída de rede liberada do servidor de aplicação para destinos externos, condição que facilita recuperação de payloads após a exploração.
A investigação deve começar pelos logs HTTP do Weaver E-cology, do proxy reverso, do balanceador e de qualquer WAF posicionado antes da aplicação. O primeiro pivô é a busca por requisições POST para /papi/esearch/data/devops/dubboApi/debug/method, especialmente quando acompanhadas de parâmetros interfaceName e methodName incomuns, valores longos, cadeias que indiquem chamada dinâmica de método ou padrões de comando do sistema operacional. Como a falha permite acionar execução por funcionalidade de depuração, a ausência de erro HTTP não deve ser interpretada como ausência de exploração; respostas curtas, códigos 200, 500 ou variações de tempo de resposta podem todos merecer correlação com eventos de processo no host.
No endpoint, a telemetria mais valiosa está em criação de processos descendentes do serviço do Weaver E-cology ou de seu runtime. Devem ser procurados processos de shell, utilitários de reconhecimento e chamadas PowerShell iniciadas pelo usuário da aplicação. Os comandos whoami, ipconfig e tasklist são artefatos confirmados da atividade observada e devem ser caçados em logs de EDR, Windows Event Log, Sysmon, trilhas de auditoria de criação de processo e registros de comando quando disponíveis. A presença do arquivo fanwei0324.msi, de eventos do Windows Installer ou de tentativas de instalação com nome semelhante deve ser analisada mesmo que a instalação tenha falhado, pois a falha de instalação não elimina a possibilidade de execução de comandos anteriores.
A camada de rede deve ser usada para identificar tentativas de download de cargas PowerShell ou MSI a partir do servidor vulnerável. Como não há indicadores de domínio ou hash confirmados, a busca precisa se apoiar em comportamento: conexões de saída logo após o acesso ao endpoint de depuração, tráfego HTTP ou HTTPS originado pelo servidor de aplicação para destinos sem histórico, User-Agents incomuns para o processo, transferência de arquivos com extensão .msi e sessões próximas de comandos PowerShell. Em ambientes com proxy autenticado, a conta do servidor de aplicação deve ser usada como chave de correlação. Em ambientes sem inspeção de saída, logs de DNS, firewall e EDR podem compensar parcialmente a falta de visibilidade do conteúdo.
- Requisições
POSTpara/papi/esearch/data/devops/dubboApi/debug/methodcom parâmetrosinterfaceNameemethodNamecontroláveis pelo cliente. - Criação de processos
whoami,ipconfig,tasklist,powershell.exeou instaladores MSI iniciados pelo processo da aplicação ou por sua conta de serviço. - Presença, download, quarentena ou tentativa de execução do arquivo
fanwei0324.msiem servidores Weaver E-cology. - Conexões de saída do servidor de aplicação imediatamente após acessos à rota vulnerável, principalmente para obtenção de scripts PowerShell ou arquivos
.msi. - Erros de aplicação, exceções de debug ou respostas anômalas no mesmo intervalo de tempo dos acessos ao endpoint vulnerável.
A ação principal é atualizar o Weaver E-cology 10.0 para a versão 20260312 ou posterior. A correção deve ser tratada como prioridade alta porque a vulnerabilidade é remota, não autenticada, crítica e já foi explorada em ambiente real. Antes e depois da atualização, o time deve inventariar todas as instâncias do produto, incluindo servidores de homologação, ambientes de teste, nós atrás de balanceadores, cópias publicadas para filiais e exposições indiretas por proxy. A validação não deve se limitar à versão reportada pela interface administrativa; é necessário confirmar o pacote efetivamente instalado, o comportamento do endpoint vulnerável e a ausência de réplicas antigas ainda recebendo tráfego.
Como medida de contenção, a rota /papi/esearch/data/devops/dubboApi/debug/method deve ser bloqueada em camadas de borda sempre que possível. Regras em WAF, proxy reverso e gateway devem negar requisições externas para esse caminho, mas esse bloqueio não substitui a atualização. Em redes internas, o acesso administrativo e de aplicação ao Weaver E-cology deve ser reduzido aos segmentos necessários, e a saída de rede do servidor deve ser limitada a destinos esperados. Caso existam evidências de requisições ao endpoint antes da correção, o procedimento defensivo deve avançar para resposta a incidente: preservar logs, coletar processos recentes, verificar tarefas agendadas, serviços criados, alterações em diretórios temporários e artefatos de instalação MSI.
A validação pós-mitigação deve incluir teste controlado de acessibilidade do endpoint, revisão de logs do período de exposição e busca retroativa por comandos confirmados. Um script público em Python foi disponibilizado por pesquisador independente para identificar instâncias vulneráveis verificando se a API suscetível está acessível; esse tipo de verificação pode ajudar no inventário, desde que executado apenas em ativos autorizados e com registro de janela de teste. Se houver qualquer indício de execução de comando, a troca de credenciais associadas ao servidor, a revisão de segredos acessíveis pela aplicação e a análise de movimentação lateral devem fazer parte do encerramento técnico.
- Atualizar todas as instâncias do Weaver E-cology 10.0 para
20260312ou versão posterior. - Bloquear
/papi/esearch/data/devops/dubboApi/debug/methodem WAF, proxy reverso e controles de roteamento, sem usar o bloqueio como substituto da correção. - Investigar logs HTTP e eventos de processo para
whoami,ipconfig,tasklist,powershell.exee execução ou instalação defanwei0324.msi. - Restringir saída de rede do servidor de aplicação e revisar conexões externas feitas no intervalo de exposição.
- Coletar evidências antes de limpar arquivos suspeitos, preservar horários de acesso e correlacionar requisições do endpoint com criação de processos no host.
0 Comentários