文章总结： 本文记录了泛微OA系统CVE-2026-22679未授权RCE漏洞的完整时间线：3月12日补丁发布后仅5天即遭定向利用，3月底进入在野利用阶段，4月展开批量扫描。漏洞源于生产环境遗留的调试接口/papi/esearch/data/devops/dubboApi/debug/method，攻击者无需认证即可通过Dubbo框架远程执行系统命令。文章提出六项应急措施：立即安装补丁、配置网络层拦截、资产测绘排查、日志审计、凭据轮换及长期禁用调试接口。 综合评分： 85 文章分类： 漏洞分析,应急响应,漏洞预警,WEB安全,安全建设

补丁刚装好，攻击者就进来了：泛微OA未认证RCE漏洞从发现到批量扫描全记录

原创

昆仑AI安全团队 昆仑AI安全团队

昆仑AI安全实验室

2026年5月15日 14:34 广东

在小说阅读器读本章

去阅读

2026年3月12日，泛微官方发布了E-cology 10安全补丁。

五天后，Vega威胁情报团队捕获到第一批针对该漏洞的定向攻击。没有宽泛扫描，没有大规模撒网。攻击者像外科手术一样精准地找到了暴露在互联网上的漏洞端点，执行命令、探测环境、尝试投递载荷。

又过了两周，Shadowserver基金会确认漏洞已进入在野利用阶段。到4月底，批量扫描全面展开。此时CVSS评分9.8的这个漏洞，编号CVE-2026-22679，已经让大批企业OA系统沦为攻击者随意进出的大门。

本文把这条完整时间线拆开——漏洞怎么被发现的、攻击者怎么利用的、为什么补丁发布不到一周就被打穿、以及你现在需要做什么。

一、漏洞本质：一个不该活在生产环境里的调试端点

漏洞点非常具体：/papi/esearch/data/devops/dubboApi/debug/method。

这个端点原本属于开发调试接口，设计初衷是让开发人员测试Dubbo服务调用逻辑。正常情况下，它应该在开发环境用完就关掉，永远不会出现在生产系统的公网端口上。

实际情况是：泛微E-cology 10的生产版本默认保留了这个端点，而且没有配置任何身份认证。接口路由上没有任何拦截规则——不需要登录、不需要Cookie、不需要任何凭证。公网上的任何人，只要能访问到这台服务器，就能直接调用它。

更致命的是接口的参数设计。这个端点接收POST请求，三个核心参数——interfaceName、methodName、params——全部由用户控制，没有任何白名单限制或输入校验。底层通过Dubbo框架调用指定接口和方法，攻击者可以指定任意系统内置类和方法。

而Ecology系统内置了一个叫CommandExecHelper的命令执行助手类，封装了Runtime.getRuntime().exec()这样的系统命令执行逻辑。攻击者只需要把interfaceName指向这个助手类，把methodName指向命令执行方法，把params填上恶意系统命令，整个链路就通了。

构造这样一个请求不需要任何高级技术：

POST /papi/esearch/data/devops/dubboApi/debug/method HTTP/1.1Host: target.comContent-Type: application/json
{  "interfaceName": "com.weaver.esearch.data.devops.dubboApi.CommandExecHelper",  "methodName": "execCommand",  "params": {"cmd": "whoami"}}

服务器接收后，直接调用CommandExecHelper.execCommand()，执行whoami。结果通过接口返回给攻击者。接下来想跑systeminfo、写Webshell、植入挖矿木马，全看攻击者的意愿。

奇安信CERT、长亭安全应急响应中心均在3月中旬成功复现了该漏洞，确认攻击者在无需任何权限的情况下，可通过该接口远程执行任意代码，直接获取服务器权限。

二、时间线拆解：五天窗口期怎么被撕开的

这条时间线比大多数安全报告描述的要紧迫得多。

3月12日——泛微发布安全补丁包v20260312，修复了包括CVE-2026-22679在内的多个RCE漏洞。官方补丁的核心修复手段很直接：彻底移除或禁用该调试端点，使其不再对外暴露。

3月17日——仅五天后，Vega研究团队首次捕获到针对CVE-2026-22679的定向攻击流量。此时距离补丁发布不到一周，绝大多数企业甚至还没完成补丁评估。

3月17日至24日——第一波攻击持续约一周。攻击者通过ping回呼确认漏洞存在，随后尝试投递多种载荷。观察到的活动高度系统化：先用whoami、ipconfig、tasklist探测服务器环境，然后尝试投递PowerShell脚本、MSI安装包等载荷。虽然部分投递被终端防护拦截，但攻击者始终能回到这个调试端点继续执行命令。

3月31日——Shadowserver基金会确认该漏洞已被在野利用，开始发出公开警报。

4月初至月底——攻击从定向阶段进入批量扫描阶段。利用该漏洞的自动化扫描脚本在互联网上扩散，批量扫描和利用尝试显著增加。

Vega的Daniel Messing总结得最到位：“攻击者根本不需要持久化shell——调试端点就是shell，它遵循严格的请求/响应语义。这也是为什么载荷投递和侦察可以同时进行：两者都是发往同一端点的不同POST请求体。”

这意味着什么？攻击者不需要在服务器上写入Webshell、不需要建立C2通道、不需要处理权限维持。这个端点本身就是天然的远程命令执行接口——你发一个请求，它就执行一条命令，然后把结果返回给你。简单、干净、不留痕迹。

三、不止泛微：整个OA生态都在被定点打击

泛微OA在国内市场的部署量极其庞大。作为国内协同OA办公领域的领导品牌，泛微已被七万多家大中型组织选用。

CVE-2026-22679不是孤例。2026年春季，国内主流OA系统遭遇了一波密集的漏洞爆发和定向打击：

泛微E-cology 10同时被曝存在多个RCE漏洞，长亭应急响应中心在3月16日的通告中确认了多个未授权代码执行漏洞的同时存在。百度云防护在4月底的规则库升级中，密集更新了针对用友NC、致远OA、通达OA、泛微OA的全线高危漏洞防御规则。

攻击者在选择目标时呈现出明显的倾向性：优先打击补丁发布最晚、用户基数最大的OA系统；优先选择无需认证、无需用户交互的接口；优先利用开发调试类功能进行突破。

这个攻击模式是系统性的——攻击者不再花时间挖0day，而是守在补丁发布窗口上，逆向分析补丁差异，快速构造利用代码，在用户完成升级之前发起攻击。补丁发布到漏洞利用的时间差，正在从“月”级压缩到“天”级。

四、漏洞利用的底层逻辑：Java生态的“调试功能滥用”

这个漏洞的根源是开发框架的生产环境配置问题，在Java企业级应用中非常普遍：

调试接口生产化。 DubboApi调试接口原本限定在开发测试环境使用，但大量企业在从测试迁移到生产时，直接使用开发配置，未对系统服务接口进行裁剪。导致这些仅用于开发调试的API暴露在生产公网。

RPC调用无认证机制。 企业内部RPC框架（如Dubbo）在设计时假设调用来自可信任的内部网络，往往缺少独立的认证鉴权层。一旦接口暴露至公网，就形成了“裸奔”状态。

参数传递链条过长且无校验。 从前端HTTP请求到后端RPC服务，参数经历了多层传递。每一层都应该有独立的校验逻辑，但泛微这一套实现中，从接口层到Dubbo服务调用层，参数完全可控，没有任何过滤。

Vega团队特别强调了一个细节：所有观察到的进程都源自java.exe——即Weaver使用的Tomcat实例内嵌的Java虚拟机。没有任何事先认证的痕迹。也就是说，攻击者从第一次请求开始，就已经能够执行系统命令。

五、需要立即做的事

第一，确认补丁状态。 检查E-cology版本，所有低于v20260312安全补丁包的系统均在此漏洞影响范围内。官方已将补丁发布在泛微安全公告页面。升级后验证：确认/papi/esearch/data/devops/dubboApi/debug/method端点返回404或401，而非200。

第二，如果无法立即打补丁，网络层先行拦截。 在Nginx中为/papi/路径配置Basic Auth认证。长亭的方案很实用：

location /papi/ {    auth_basic "Restricted";    auth_basic_user_file /etc/nginx/.htpasswd;    proxy_pass http://backend;}

配合WAF对/papi/esearch/data/devops/dubboApi/debug/method路径进行全局拦截。长亭雷池和全悉已在3月16日发布了对该漏洞利用行为的检测支持，无锋和洞鉴也已支持PoC检测。

第三，资产测绘排查。 使用FOFA或奇安信鹰图等测绘平台，排查公网暴露的泛微OA资产。FOFA语法：app="泛微-OA（e-cology）"。逐一验证是否存在漏洞端点。

第四，日志排查。 审计OA服务器的访问日志，排查/papi/esearch/data/devops/dubboApi/debug/method路径的访问记录，尤其关注interfaceName=com.weaver和methodName=execCommand的POST请求。如有此类访问记录，表明系统可能已被攻击者探测或入侵。

第五，如果已被入侵。 不要只清理Webshell。攻击者很可能已通过命令执行获取了系统敏感信息（数据库连接串、API密钥、域账号哈希），这些凭据必须全部轮换。

第六，长期防御策略。 对所有开发调试类接口进行全面盘点并默认禁用；对外暴露的Dubbo等RPC框架加装身份认证层；建立补丁发布后的快速响应和自动化验证机制。Kerem Oruc已在GitHub发布了检测脚本，可快速定位是否仍开放该接口。

写在最后

CVE-2026-22679的完整轨迹——3月12日补丁发布，3月17日定向利用，3月31日公开警报，4月底批量扫描——精准地映射出2026年漏洞利用的压缩周期。Vega记录下来的不是某个特定漏洞的个案，而是一种正在被武器化的速度差。

补丁发布五天，第一批攻击者已经完成漏洞验证、载荷开发和目标锁定。而大多数企业的安全运维团队此刻还在评估“这个补丁要不要打、打了会不会影响业务”。

当攻击者已经在用AI分析补丁差分、自动化生成利用脚本、并行扫描全网目标的时候，防御侧还在依赖人工排期、手动验证、逐台升级。这个速度差不是技术问题，是流程问题。

补丁不是保险，补丁是发令枪。枪一响，谁跑得慢，谁就被打穿。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：昆仑AI安全实验室 昆仑AI安全团队 昆仑AI安全团队《补丁刚装好，攻击者就进来了：泛微OA未认证RCE漏洞从发现到批量扫描全记录》