weaver e-cology'de kritik rce açığı, aktif sömürülüyor

Posted on 5 May 2026

arkadaşlar, weaver (fanwei) e-cology denen çin yapımı kurumsal otomasyon platformunda ciddi bir açık keşfedilmiş ve aktif olarak sömürülüyor. CVE-2026-22679 numaralı bu zafiyet cvss 9.8 almış, yani kritik seviyede.

şöyle ki, bu CVE-2026-22679 açığı kimlik doğrulama gerektirmeden uzaktan kod çalıştırma (rce) imkanı veriyor. yani saldırgan kullanıcı adı şifre falan istemeden direkt sisteme girebiliyor ve istediği komutu çalıştırabiliyor. weaver e-cology 10.0 sürümünün 20260312 tarihinden önceki versiyonları etkileniyor.

teknik detaylar

açık /papi/esearch/data/devops/ debug api endpoint’inde bulunuyor. debug api’si dediğimiz şey normalde geliştirme aşamasında kullanılan, production’da olmaması gereken bir şey. ama klasik hareket işte, production’da debug modu açık kalmış.

saldırganlar bu debug api üzerinden sisteme kimlik doğrulama olmadan erişip komut çalıştırabiliyor.

zafiyet özellikleri:

  • cvss skoru: 9.8 (kritik) 🔴
  • saldırı vektörü: network (ağ üzerinden)
  • kimlik doğrulama: gerekmiyor (yani herkes saldırabilir)
  • kullanıcı etkileşimi: gerekmiyor
  • etki: tam sistem kontrolü

spoiler: bu açık şu anda aktif olarak sömürülüyor. yani teorik bir risk değil, gerçek saldırılar var.

etkilenen sistemler

sistem/sürümdurum
weaver e-cology 10.0 (< 20260312)✅ etkileniyor
weaver e-cology 10.0 (>= 20260312)❌ etkilenmiyor
weaver e-cology 9.x⚠️ kontrol edin

ne yapmalısınız

agalar hemen şunları yapın:

1. sürüm kontrolü

önce hangi sürümü kullandığınızı kontrol edin:

# weaver e-cology sürüm kontrolü
# genelde /ecology/version.txt dosyasında bulunur
cat /ecology/version.txt

# veya web arayüzünden
# sistem yönetimi > hakkında kısmına bakın

2. acil güncelleme

20260312 tarihli veya daha yeni yamayı hemen kurun:

# yedek almayı unutmayın
tar -czf ecology_backup_$(date +%Y%m%d).tar.gz /ecology/

# güncellemeyi uygulayın
# vendor'dan aldığınız yama paketini kurun

dikkat: yedek almadan bu işe girişmeyin, sonra ağlarsınız.

3. log kontrolü

sisteminizin daha önce saldırıya uğrayıp uğramadığını kontrol edin:

# debug api endpoint'ine yapılan istekleri kontrol edin
grep -r "/papi/esearch/data/devops/" /var/log/ecology/
grep -r "/papi/esearch/data/devops/" /var/log/nginx/
grep -r "/papi/esearch/data/devops/" /var/log/apache2/

# şüpheli aktiviteler
# - bilinmeyen ip'lerden gelen istekler
# - post istekleri
# - komut çalıştırma denemeleri

geçici çözümler

hemen yamalayamıyorsanız şunları yapın:

1. waf/firewall kuralı

# nginx için
location /papi/esearch/data/devops/ {
    deny all;
    return 403;
}

# sonra reload
nginx -t && systemctl reload nginx

2. network seviyesinde engelleme

# iptables ile debug api'yi engelleyin
iptables -A INPUT -p tcp --dport 80 -m string --string "/papi/esearch/data/devops/" --algo bm -j DROP
iptables -A INPUT -p tcp --dport 443 -m string --string "/papi/esearch/data/devops/" --algo bm -j DROP

# kaydedin
iptables-save > /etc/iptables/rules.v4

3. sadece güvenli ip’lere izin

eğer bu endpoint’e gerçekten ihtiyacınız varsa (olmamalı ama), sadece yönetim ağından erişime izin verin:

# nginx config
location /papi/esearch/data/devops/ {
    allow 10.0.0.0/8;  # internal network
    deny all;
}

ioc’ler (saldırı göstergeleri)

loglarınızda şunları arıyorsanız:

  • /papi/esearch/data/devops/ endpoint’ine gelen post istekleri
  • bilinmeyen ip adreslerinden gelen istekler
  • base64 encoded payload’lar
  • komut çalıştırma denemeleri (whoami, id, uname vb.)
  • reverse shell bağlantıları
# şüpheli aktivite arama
grep -E "(whoami|id|uname|wget|curl|nc|bash)" /var/log/ecology/access.log

öneriler

  1. acil acil yamalayın - bu şaka değil, aktif sömürülüyor
  2. yedek alın, sonra yama yapın
  3. logları kontrol edin, saldırı olup olmadığına bakın
  4. debug/geliştirici modlarını production’da kapalı tutun (klasik hatayı yapmayın)
  5. waf kullanın, böyle endpoint’leri engelleyin
  6. network segmentasyonu yapın, oa sistemini internete açmayın

edit: weaver çin’de çok yaygın kullanılan bir platform. eğer kullanıyorsanız mutlaka kontrol edin.

edit 2: bu tarz debug api’leri production’da bırakmak klasik hata. geliştirme bitince kapatın şu modları arkadaşlar.

kaynaklar

arkadaşlar ciddiyim, bu açık çok kritik ve aktif kullanılıyor. hemen harekete geçin, test ortamında deneyin, sonra production’a alın. ama oyalanmayın, zaman kaybetmeyin.

Bu içerik yapay zeka tarafından oluşturulmuştur.