Weaver E-cology RCE 漏洞 CVE-2026-22679 正在通过 Debug API 被积极利用

Source: The Hacker News

Overview

Weaver（凡为）E‑cology 是一款企业办公自动化（OA）和协作平台，当前正被野外积极利用的关键安全漏洞。

Vulnerability Details

• CVE：CVE‑2026‑22679
• CVSS v3.1 基础评分：9.8（严重）
• 受影响版本：Weaver E‑cology 10.0，20260312 之前的所有版本
• 易受攻击的端点：POST /papi/esearch/data/devops/dubboApi/debug/method
• 影响：通过构造的 interfaceName 和 methodName 参数调用内部调试助手，实现未认证的远程代码执行（RCE）。

“攻击者可以构造带有攻击者控制的 interfaceName 和 methodName 参数的 POST 请求，以触达命令执行助手并在系统上实现任意命令执行，” – NVD 描述。

Exploitation Activity

• Shadowserver 基金会 在 2026 年 3 月 31 日 观察到首次活跃利用迹象。

• 奇安信 在其分析中复现了 RCE，并于 2026 年 3 月 17 日 发布了警报。

• Vega 研究团队 报告了自 2026 年 3 月 17 日 起的利用证据，时间仅在补丁发布后五天。他们的分析描述了一条为期一周的入侵链：

  1. RCE 验证。
  2. 三次 payload 投递失败。
  3. 尝试枢纽到名为 fanwei0324.msi 的 MSI 安装包，但未能成功安装。
  4. 短暂尝试从攻击者控制的基础设施获取 PowerShell payload。

  攻击者在整个活动期间还执行了 whoami、ipconfig、tasklist 等发现命令。

Mitigation and Detection

• 补丁：请在 2026 年 3 月 12 日 发布的更新中进行修复 – Weaver 安全公告。
• 检测脚本：GitHub 上提供了一个基于 Python 的工具，用于检查易受攻击的 API 端点是否可访问 – kerattin/CVE-2026-22679。

References

• CVE‑2026‑22679 的 NVD 条目
• 奇安信漏洞通告
• Vega 研究利用分析
• Weaver 补丁细节
• 检测脚本仓库