Correo electrónico, documentos y procesos de RR. HH. en peligro: hackers ya cuentan con un exploit para una vulnerabilidad crítica en Weaver E-cology
Los atacantes actuaron mucho antes de que el problema se anunciara oficialmente.
Los atacantes empezaron a explotar una vulnerabilidad crítica en Weaver E-cology pocos días después de la publicación del parche. Los ataques fueron sigilosos y no parecían una campaña masiva, pero el escenario muestra lo rápido que los delincuentes prueban los sistemas corporativos en busca de fallos recientes.
Se trata de CVE-2026-22679 — una vulnerabilidad de ejecución remota de código en Weaver E-cology 10.0 en compilaciones anteriores al 12 de marzo de 2026. La plataforma se utiliza ampliamente para la automatización de oficinas, la gestión de documentos, los procesos de recursos humanos y los flujos de trabajo internos de muchas organizaciones.
La empresa Weaver lanzó el parche el 12 de marzo, pero reveló los detalles públicamente más tarde. Según el equipo Vega, los primeros ataques comenzaron aproximadamente cinco días después de la salida de la actualización y dos semanas antes de la notificación oficial. La actividad duró alrededor de una semana y se desarrolló en varias etapas.
El problema estaba relacionado con una API de depuración abierta. Ese tipo de interfaz sin autorización enviaba parámetros de usuario a funciones RPC del servidor y no validaba la entrada. Como resultado, los atacantes podían enviar valores manipulados que el servidor ejecutaba como comandos del sistema. Un vector similar —la falta de validación de la entrada sin autorización previa— se utilizó en octubre de 2025 en los ataques contra dispositivos WatchGuard.
Primero los atacantes comprobaron la posibilidad de ejecución remota de código mediante comandos ping desde un proceso Java hacia una dirección de devolución de llamada vinculada a Goby. Luego intentaron descargar scripts de PowerShell, pero las medidas de protección de los dispositivos finales bloquearon esas acciones.
Tras las descargas fallidas, los atacantes intentaron ejecutar el instalador MSI «fanwei0324.msi», adaptado a una víctima concreta. El archivo no funcionó correctamente, y los especialistas de Vega no observaron actividad adicional por esa vía.
Más tarde los atacantes volvieron al interfaz RCE vulnerable y emplearon PowerShell ofuscado sin escribir archivos en disco para recuperar scripts remotos de nuevo. En todas las etapas se ejecutaron comandos de reconocimiento, incluidos whoami, ipconfig y tasklist.
Vega precisa que todos los procesos observados se ejecutaban desde «java.exe», es decir, desde la máquina Java integrada en Tomcat como parte de Weaver. No hubo signos de autorización previa. A pesar de la posibilidad de ejecutar código, los atacantes no se establecieron en el host afectado ni crearon una sesión persistente.
En el boletín oficial no se indican medidas alternativas. Se recomienda a los usuarios de Weaver E-cology 10.0 que instalen la compilación actual lo antes posible, ya que la versión 20260312 elimina por completo la peligrosa interfaz de depuración.