🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma vulnerabilidade crítica de segurança na Weaver (Fanwei) E-cology, uma plataforma corporativa de automação de escritório (OA) e colaboração, está sob exploração ativa em estado selvagem.
A vulnerabilidade (CVE-2026-22679, pontuação CVSS: 9,8) está relacionada a um caso de execução remota de código não autenticado que afeta as versões do Weaver E-cology 10.0 anteriores a 20260312. O problema reside no endpoint "/papi/esearch/data/devops/dubboApi/debug/method" que permite que um invasor execute comandos arbitrários invocando a funcionalidade de depuração exposta.
“Os invasores podem criar solicitações POST com parâmetros interfaceName e methodName controlados pelo invasor para alcançar auxiliares de execução de comandos e obter execução arbitrária de comandos no sistema”, de acordo com uma descrição da falha no NIST National Vulnerability Database (NVD).
O comunicado também observou que a Shadowserver Foundation observou os primeiros sinais de exploração ativa em 31 de março de 2026. O fornecedor de segurança chinês QiAnXin disse que foi capaz de reproduzir com sucesso a vulnerabilidade de execução remota de código em seu próprio alerta lançado em 17 de março de 2026.
No entanto, em um relatório publicado na semana passada, a equipe de pesquisa da Vega disse ter identificado a exploração ativa do CVE-2026-22679, com as primeiras evidências de abuso datando de 17 de março de 2026, cinco dias após o envio dos patches para a falha.
“A intrusão se desenrolou ao longo de aproximadamente uma semana de atividade do operador: verificação RCE, três quedas de carga útil com falha, uma tentativa de pivotar um implante MSI que não produziu uma instalação funcional e uma pequena série de tentativas de recuperar cargas úteis do PowerShell da infraestrutura controlada pelo invasor”, disse o pesquisador de segurança Daniel Messing.
O instalador do MSI, de acordo com a empresa israelense de segurança cibernética, usou o nome “fanwei0324.msi”, indicando uma tentativa de passar a carga maliciosa como inofensiva usando o nome chinês romanizado para Weaver. O ator desconhecido da ameaça também foi observado executando comandos de descoberta, como whoami, ipconfig e tasklist, durante a campanha.
O pesquisador de segurança Kerem Oruc disponibilizou um script de detecção baseado em Python que identifica instâncias vulneráveis do Weaver E-cology, verificando se o endpoint da API suscetível está acessível. Os usuários são aconselhados a aplicar as atualizações, se ainda não o fizeram, para permanecerem protegidos.
A vulnerabilidade (CVE-2026-22679, pontuação CVSS: 9,8) está relacionada a um caso de execução remota de código não autenticado que afeta as versões do Weaver E-cology 10.0 anteriores a 20260312. O problema reside no endpoint "/papi/esearch/data/devops/dubboApi/debug/method" que permite que um invasor execute comandos arbitrários invocando a funcionalidade de depuração exposta.
“Os invasores podem criar solicitações POST com parâmetros interfaceName e methodName controlados pelo invasor para alcançar auxiliares de execução de comandos e obter execução arbitrária de comandos no sistema”, de acordo com uma descrição da falha no NIST National Vulnerability Database (NVD).
O comunicado também observou que a Shadowserver Foundation observou os primeiros sinais de exploração ativa em 31 de março de 2026. O fornecedor de segurança chinês QiAnXin disse que foi capaz de reproduzir com sucesso a vulnerabilidade de execução remota de código em seu próprio alerta lançado em 17 de março de 2026.
No entanto, em um relatório publicado na semana passada, a equipe de pesquisa da Vega disse ter identificado a exploração ativa do CVE-2026-22679, com as primeiras evidências de abuso datando de 17 de março de 2026, cinco dias após o envio dos patches para a falha.
“A intrusão se desenrolou ao longo de aproximadamente uma semana de atividade do operador: verificação RCE, três quedas de carga útil com falha, uma tentativa de pivotar um implante MSI que não produziu uma instalação funcional e uma pequena série de tentativas de recuperar cargas úteis do PowerShell da infraestrutura controlada pelo invasor”, disse o pesquisador de segurança Daniel Messing.
O instalador do MSI, de acordo com a empresa israelense de segurança cibernética, usou o nome “fanwei0324.msi”, indicando uma tentativa de passar a carga maliciosa como inofensiva usando o nome chinês romanizado para Weaver. O ator desconhecido da ameaça também foi observado executando comandos de descoberta, como whoami, ipconfig e tasklist, durante a campanha.
O pesquisador de segurança Kerem Oruc disponibilizou um script de detecção baseado em Python que identifica instâncias vulneráveis do Weaver E-cology, verificando se o endpoint da API suscetível está acessível. Os usuários são aconselhados a aplicar as atualizações, se ainda não o fizeram, para permanecerem protegidos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #weaver #ecology #rce #flaw #cve202622679 #explorado #ativamente #via #api #de #depuração
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário