In Weaver E-cology, een platform voor enterprise office automation en samenwerking, is een kritieke kwetsbaarheid (CVE-2026-22679) ontdekt die actief wordt misbruikt. Het betreft een ongeauthenticeerde remote code execution (RCE) in versies van Weaver E-cology 10.0 die dateren van voor 12 maart 2026. De kwetsbaarheid zit in de endpoint "/papi/esearch/data/devops/dubboApi/debug/method" en maakt het mogelijk voor aanvallers om via een debugfunctie willekeurige commando's uit te voeren.

Volgens de beschrijving van de kwetsbaarheid kunnen aanvallers speciaal samengestelde POST-verzoeken sturen met door de aanvaller gecontroleerde parameters om zo commando's op het systeem uit te voeren. De Shadowserver Foundation signaleerde de eerste actieve exploitatie op 31 maart 2026. De Chinese beveiligingsleverancier QiAnXin meldde op 17 maart 2026 al succesvol de kwetsbaarheid te hebben gereproduceerd. Kort daarna, vijf dagen na het uitbrengen van patches door Weaver op 12 maart 2026, constateerde het Vega Research Team actieve exploitatie, met bewijs van misbruik vanaf dezelfde dag.

Beveiligingsonderzoeker Daniel Messing beschreef dat de aanval ongeveer een week duurde en bestond uit verificatie van RCE, drie mislukte pogingen om payloads te plaatsen, een poging om een MSI-implantaat te installeren die niet succesvol was, en korte pogingen om PowerShell-payloads op te halen van door de aanvaller gecontroleerde infrastructuur. Het MSI-installatiebestand droeg de naam "fanwei0324.msi", wat een poging lijkt om de kwaadaardige payload te maskeren met de romanisatie van de naam Weaver. Tijdens de campagne voerde de onbekende dreigingsactor ook commando's uit zoals whoami, ipconfig en tasklist om het systeem te verkennen.

Beveiligingsonderzoeker Kerem Oruc heeft een Python-script beschikbaar gesteld waarmee kwetsbare Weaver E-cology-instanties kunnen worden opgespoord door te controleren of de kwetsbare API-endpoint toegankelijk is. Gebruikers worden dringend geadviseerd de beschikbare updates te installeren om bescherming te waarborgen.