MetInfo RCE уже эксплуатируют. Время установки патча критично

CVE-2026-29014 в MetInfo CMS активно эксплуатируют. Патч уже доступен, а администраторам стоит срочно проверить версии, плагины и логи.

2026-05-13 GIGATAP Team #security
#metinfo#cve-2026-29014#rce

MetInfo CMS RCE уже эксплуатируют. Время установки патча критично

Что известно#

Threat actors активно эксплуатируют CVE-2026-29014 в MetInfo CMS, сообщает VulnCheck. Уязвимость описывается как критическая PHP code injection, которая может привести к remote code execution.

В записи NIST говорится, что MetInfo CMS версий 7.9, 8.0 и 8.1 содержит unauthenticated PHP code injection vulnerability. Проще говоря: атакующему не нужно входить в систему, если он может отправлять специально сформированные запросы с вредоносным PHP code.

Проблема находится в /app/system/weixin/include/class/weixinreply.class.php. По словам исследователя Egidio Romano, корневая причина — слабая sanitization пользовательского ввода в пути, который используется для выполнения запросов к Weixin, или WeChat, API. Это открывает возможность для arbitrary PHP execution, если запрос сформирован неправильным образом.

Есть важная деталь, связанная с окружением. На non-Windows servers эксплуатация также зависит от того, существует ли уже директория /cache/weixin/. Она создается при установке и настройке официального WeChat plugin, поэтому на практике attack surface не является универсальной. Но она все равно достаточно широка, чтобы относиться к проблеме серьезно.

MetInfo исправила уязвимость 7 апреля 2026 года.

Почему это важно#

Это уже не теоретическая bug. VulnCheck сообщает, что эксплуатация началась 25 апреля: сначала как небольшое число попыток против honeypots в США, затем 1 мая произошел более крупный всплеск. Более поздняя активность была сфокусирована на IP-адресах в Китае и Гонконге.

Такой паттерн обычно означает две вещи. Во-первых, атакующие готовы проверять уязвимость в масштабе. Во-вторых, они уже сортируют цели по вероятной exposure или ценности.

Формулировка NVD довольно прямолинейна: insufficient input neutralization в execution path может позволить атакующему получить полный контроль над затронутым сервером. Именно эту часть операторам не стоит игнорировать. Если CMS instance доступен извне и уязвим, конечным результатом становится code execution, а не просто шумный bug report.

VulnCheck также отмечает, что в интернете доступно до 2 000 instances MetInfo, большинство из них — в Китае. Это не доказывает, что все 2 000 уязвимы. Но это означает, что пул публично доступных целей достаточно велик, чтобы эксплуатация могла продолжаться без особых усилий.

Для обычных пользователей последствия косвенные, но реальные. Компрометация CMS может привести к defacement, краже данных, hosting malware или pivot в остальную серверную среду. В hosted setups одна слабая CMS также может стать foothold для более широкой intrusion.

Что не стоит преувеличивать#

Исходные материалы не говорят, сколько жертв было скомпрометировано. Они не утверждают, что наблюдаемая активность против honeypot переросла в подтвержденные real-world intrusions. Также не приводится полный exploit chain или post-exploitation behavior.

Поэтому безопасная формулировка уже: уязвимость исправлена, публична и находится под active exploitation. Этого достаточно, чтобы считать ее operational risk.

Также важно держать scope точным. Уязвимость связана с конкретными версиями MetInfo, названными NIST, и с определенным code path, связанным с Weixin integration. Если система не использует эти версии или не имеет соответствующего plugin и состояния директории, exposure может отличаться. Это не отменяет необходимости проверки, но важно для triage.

Что проверить дальше#

Если вы используете MetInfo, практический следующий шаг прост: подтвердите свою версию и проверьте, применен ли патч от 7 апреля.

Быстрая проверка должна включать:

  • установленную версию MetInfo, особенно 7.9, 8.0 и 8.1
  • установлен и настроен ли официальный WeChat plugin
  • существует ли /cache/weixin/ на non-Windows servers
  • есть ли на сервере неожиданные PHP files, новые admin accounts или недавние изменения
  • web logs за конец апреля и начало мая на предмет подозрительных запросов к Weixin reply path

Если немедленно установить patch невозможно, максимально изолируйте instance. Ограничьте публичный доступ, проверьте правила WAF или reverse proxy и отслеживайте request patterns, нацеленные на уязвимый path. Если CMS доступна из интернета и не нужна, лучше убрать окно exposure, а не считать, что низкий трафик равен низкому риску.

Итог#

CVE-2026-29014 — это CMS flaw, которая быстро набирает обороты после попадания в active exploitation. Патч уже доступен, code path известен, а probes уже наблюдались.

Значит, это задача на проверку, а не повод для спора. Проверьте версию. Проверьте состояние plugin. Проверьте logs. А затем исходите из того, что интернет уже сделал то же самое.