1. 漏洞概述

近日，泛微（Weaver/Fanwei）旗下企业级办公自动化（OA）与协作平台 E-cology 被曝存在一个关键安全漏洞。该漏洞目前已被证实在野外（in the wild）被积极利用。

该漏洞追踪编号为 CVE-2026-22679，其 CVSS 评分为 9.8。这是一种未经身份验证的远程代码执行（RCE）漏洞，主要影响 20260312 更新补丁之前的 E-cology 10.0 版本。

2. 技术细节：Debug 接口沦为后门

漏洞根源在于 /papi/esearch/data/devops/dubboApi/debug/method 接口。攻击者可以通过调用暴露的调试（Debug）功能来执行任意命令。

NIST 国家漏洞数据库 (NVD) 的描述指出： “攻击者可以构造含有特定 interfaceName 和 methodName 参数的 POST 请求，从而触发系统内部的命令执行辅助函数，最终在目标服务器上实现任意命令执行。”

3. 在野攻击时间线

根据安全机构的观测，该漏洞在补丁发布后迅速被黑客盯上：

• 2026年3月12日： 泛微发布安全补丁。

• 2026年3月17日： 中国安全厂商奇安信 (QiAnXin) 发布预警，宣布成功复现该 RCE 漏洞，但未公开具体技术细节。

• 2026年3月17日（同日）： 根据 Vega 研究团队的最新报告，此时已观察到早期的攻击迹象，仅比补丁发布晚了 5 天。

• 2026年3月31日： Shadowserver 基金会 观察到首批大规模的活跃攻击信号。

4. 攻击手法分析：伪装与渗透

安全研究员 Daniel Messing 指出，一次典型的入侵活动通常持续约一周，包含以下阶段：

1. RCE 验证： 测试漏洞是否可用。

2. Payload 投放： 曾尝试三次投递载荷但均告失败。

3. 横向移动尝试： 试图植入一个 MSI 恶意程序（未能成功运行）。

4. 远程提取： 短时间内尝试从攻击者控制的基础设施中检索 PowerShell 载荷。

伪装手段： 以色列网络安全公司发现，黑客将恶意 MSI 安装包命名为 fanwei0324.msi，企图利用泛微的拼音名称来降低管理员的警觉。此外，攻击者在入侵期间频繁运行 whoami、ipconfig 和 tasklist 等命令进行内网侦察。

5. 防护与建议

目前，安全研究员 Kerem Oruc 已发布了一个基于 Python 的检测脚本。管理员可以使用该脚本检查其 E-cology 实例的 API 接口是否暴露，从而判断是否存在风险。

专家建议：

• 立即更新： 请所有泛微 E-cology 10.0 用户务必确认系统已更新至 20260312 或更高版本。

• 封锁路径： 若暂时无法更新，建议在 WAF 或防火墙上阻断针对 /papi/esearch/ 相关路径的外部访问。