Weaver E-cology RCE 취약점 CVE-2026-22679 디버그 API를 통해 활발히 악용됨

Source: The Hacker News

Overview

Weaver (Fanwei) E‑cology, 기업용 전자문서 및 협업 플랫폼에서 심각한 보안 취약점이 발견되었으며, 현재 활발히 악용되고 있습니다.

Vulnerability Details

• CVE: CVE‑2026‑22679
• CVSS v3.1 Base Score: 9.8 (Critical)
• Affected Versions: Weaver E‑cology 10.0, 20260312 이전 버전
• Vulnerable Endpoint: POST /papi/esearch/data/devops/dubboApi/debug/method
• Impact: 인증 없이 원격 코드 실행(RCE) – interfaceName 및 methodName 파라미터를 조작해 내부 디버그 헬퍼를 호출함으로써 임의 명령을 실행할 수 있습니다.

“공격자는 조작된 interfaceName 및 methodName 파라미터를 포함한 POST 요청을 만들어 명령 실행 헬퍼에 접근하고 시스템에서 임의의 명령을 실행할 수 있다.” – NVD description.

Exploitation Activity

• Shadowserver Foundation은 2026년 3월 31일에 최초 악용 징후를 포착했습니다.

• QiAnXin은 자체 분석에서 RCE를 재현하고 2026년 3월 17일에 경고를 발표했습니다.

• Vega Research Team은 패치가 배포된 지 5일 만에 해당 취약점이 악용된 증거를 2026년 3월 17일부터 확인했다고 보고했습니다. 그들의 분석에 따르면 일주일에 걸친 침투 체인은 다음과 같습니다:

  1. RCE 검증.
  2. 세 번의 실패한 페이로드 전송.
  3. fanwei0324.msi라는 MSI 설치 파일로 피벗을 시도했으나 설치에 실패.
  4. 공격자 제어 인프라에서 PowerShell 페이로드를 가져오려는 짧은 시도.

  위협 행위자는 캠페인 전반에 걸쳐 whoami, ipconfig, tasklist와 같은 탐색 명령도 실행했습니다.

Mitigation and Detection

• Patch: 2026년 3월 12일에 배포된 업데이트를 적용하십시오 – Weaver security advisory.
• Detection Script: 취약한 API 엔드포인트 접근성을 검사하는 Python 기반 도구가 GitHub에 공개되어 있습니다 – kerattin/CVE-2026-22679.

References

• NVD entry for CVE‑2026‑22679
• QiAnXin vulnerability notice
• Vega Research exploitation analysis
• Weaver patch details
• Detection script repository