Uma vulnerabilidade crítica em Weaver (também conhecida como Fanwei) E-cology, uma plataforma de automação de escritórios e colaboração empresarial, está sendo explorada ativamente em ambientes reais. O erro, registrado como CVE-2026-22679 e valorizado com uma pontuação CVSS de 9.8, permite execução remota de código sem autenticação em versões 10.0 anteriores à atualização publicada em 12 de março de 2026, aproveitando uma funcionalidade de depuração exposta no endpoint "/papi/esearch/data/devops/dubboApi/debug/method". Para a descrição técnica oficial, consultar a ficha de NVD e o registo do CVE no MITRE: NVD CVE-2026-22679 e MITRE CVE-2026-22679.
O vetor de exploração identificado permite a um atacante enviar pedidos POST manipuladas com parâmetros como interfaceName e methodName para invocar helpers de execução de comandos integrados na API de depuração. Ao ser uma falha sem requisito de autenticação, os atores maliciosos podem comprometer servidores expostos diretamente da Internet, o que aumenta o risco para organizações que tenham instâncias de Weaver acessíveis publicamente ou mal segmentadas.
Pesquisadores de segurança e organizações que monitoram ameaças detectaram atividade de exploração desde datas próximas à correção: alguns relatos colocam os primeiros sinais em 17 de março de 2026, enquanto observações adicionais aparecem a partir de 31 de março. Os padrões de abuso descritos incluem verificação de execução remota, tentativas fracassadas de colocar cargas úteis, uma tentativa de instalação por um MSI nomeado para aparentar ser legítimo ("fanwei0324.msi") e uma breve campanha para recuperar payloads através de PowerShell de infraestrutura controlada pelos atacantes. Ao longo das invasões também foram registrados comandos de reconhecimento básicos como whoami, ipconfig e tasklist.
Do ponto de vista operacional, este incidente ilustra dois riscos recorrentes: primeiro, que as ferramentas e endpoints de depuração deixados ativos em software de produção são convertidas em portas traseiras se não estiverem protegidas; segundo, que as correções publicadas não eliminam automaticamente a janela de exposição porque muitos ambientes corporativos demoram a aplicar adesivos ou não têm controles perimetrales que bloqueiam acessos indesejados.
Se a sua organização utilizar Weaver E-cology, a ação imediata obrigatória é aplicar a atualização oficial publicada em 12 de março de 2026 ou qualquer adesivo posterior que corrija CVE-2026-22679. Além do adesivo, convém aplicar mitigações compensatórias até que toda a frota esteja atualizada: restringir o acesso ao endpoint vulnerável através de regras de firewall ou WAF, bloquear pedidos POST para rotas suspeitas, e limitar o acesso remoto à aplicação apenas a redes internas ou endereços IP autorizados.
Em paralelo à remediação, recomenda-se a realização de atividades de detecção e investigação. Isto inclui a revisão do logs Web e do 'proxy' em busca de pedidos POST dirigidos a "/papi/esearch/data/devops/dubboApi/debug/method" e parâmetros invulgares em interfaceName/methodName, a procura de traços do instalador "fanwei0324.msi" ou outros ficheiros MSI não autorizados, a inspecionar processos e ligações salientes anormais e verificar a presença de webshells ou portas traseiras. Na falta de ferramentas específicas, uma digitalização de acessibilidade do endpoint de fora do seu perímetro permite identificar instâncias expostas que requerem atenção imediata.
Se detectar sinais de compromisso, isole a máquina afetada, preserve registros e volumes para uma análise forense, e considere restabelecer credenciais e rever contas com privilégios. A intervenção coordenada entre equipas de redes, segurança e operações é fundamental para conter o impacto e evitar pivotes internos. É igualmente aconselhável informar o fornecedor e, se for caso disso, as autoridades ou equipamentos de resposta a incidentes para partilhar indicadores e colaborar na contenção.
Para reduzir a probabilidade de surgir vulnerabilidades deste tipo no futuro, adotar medidas estruturais: desativar funções de depuração em ambientes de produção, aplicar segmentação de rede estrita para aplicações administrativas, implantar e manter regras de WAF que bloqueiem rotas de administração expostas e estabelecer procedimentos de adesivo rápido para software crítico. A visibilidade contínua através de monitoramento de integridade, EDR e análise de tráfego web ajuda a detectar atividade suspeita em fases precoces.
O caso de Weaver E-cology é um lembrete de que as plataformas de colaboração empresarial, pela sua natureza crítica e pelo acesso que costumam ter dados corporativos, são objetivos atrativos para atacantes. A combinação de uma vulnerabilidade com exploração ativa exige priorizar a correção e a caça de indicadores nos ambientes próprios para minimizar risco de intrusão e exfiltração.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...