MetInfo CMS RCE уже эксплуатируют. Время установки патча критично
Что известно#
Threat actors активно эксплуатируют CVE-2026-29014 в MetInfo CMS, сообщает VulnCheck. Уязвимость описывается как критическая PHP code injection, которая может привести к remote code execution.
В записи NIST говорится, что MetInfo CMS версий 7.9, 8.0 и 8.1 содержит unauthenticated PHP code injection vulnerability. Проще говоря: атакующему не нужно входить в систему, если он может отправлять специально сформированные запросы с вредоносным PHP code.
Проблема находится в /app/system/weixin/include/class/weixinreply.class.php. По словам исследователя Egidio Romano, корневая причина — слабая sanitization пользовательского ввода в пути, который используется для выполнения запросов к Weixin, или WeChat, API. Это открывает возможность для arbitrary PHP execution, если запрос сформирован неправильным образом.
Есть важная деталь, связанная с окружением. На non-Windows servers эксплуатация также зависит от того, существует ли уже директория /cache/weixin/. Она создается при установке и настройке официального WeChat plugin, поэтому на практике attack surface не является универсальной. Но она все равно достаточно широка, чтобы относиться к проблеме серьезно.
MetInfo исправила уязвимость 7 апреля 2026 года.
Почему это важно#
Это уже не теоретическая bug. VulnCheck сообщает, что эксплуатация началась 25 апреля: сначала как небольшое число попыток против honeypots в США, затем 1 мая произошел более крупный всплеск. Более поздняя активность была сфокусирована на IP-адресах в Китае и Гонконге.
Такой паттерн обычно означает две вещи. Во-первых, атакующие готовы проверять уязвимость в масштабе. Во-вторых, они уже сортируют цели по вероятной exposure или ценности.
Формулировка NVD довольно прямолинейна: insufficient input neutralization в execution path может позволить атакующему получить полный контроль над затронутым сервером. Именно эту часть операторам не стоит игнорировать. Если CMS instance доступен извне и уязвим, конечным результатом становится code execution, а не просто шумный bug report.
VulnCheck также отмечает, что в интернете доступно до 2 000 instances MetInfo, большинство из них — в Китае. Это не доказывает, что все 2 000 уязвимы. Но это означает, что пул публично доступных целей достаточно велик, чтобы эксплуатация могла продолжаться без особых усилий.
Для обычных пользователей последствия косвенные, но реальные. Компрометация CMS может привести к defacement, краже данных, hosting malware или pivot в остальную серверную среду. В hosted setups одна слабая CMS также может стать foothold для более широкой intrusion.
Что не стоит преувеличивать#
Исходные материалы не говорят, сколько жертв было скомпрометировано. Они не утверждают, что наблюдаемая активность против honeypot переросла в подтвержденные real-world intrusions. Также не приводится полный exploit chain или post-exploitation behavior.
Поэтому безопасная формулировка уже: уязвимость исправлена, публична и находится под active exploitation. Этого достаточно, чтобы считать ее operational risk.
Также важно держать scope точным. Уязвимость связана с конкретными версиями MetInfo, названными NIST, и с определенным code path, связанным с Weixin integration. Если система не использует эти версии или не имеет соответствующего plugin и состояния директории, exposure может отличаться. Это не отменяет необходимости проверки, но важно для triage.
Что проверить дальше#
Если вы используете MetInfo, практический следующий шаг прост: подтвердите свою версию и проверьте, применен ли патч от 7 апреля.
Быстрая проверка должна включать:
- установленную версию MetInfo, особенно 7.9, 8.0 и 8.1
- установлен и настроен ли официальный WeChat plugin
- существует ли
/cache/weixin/на non-Windows servers - есть ли на сервере неожиданные PHP files, новые admin accounts или недавние изменения
- web logs за конец апреля и начало мая на предмет подозрительных запросов к Weixin reply path
Если немедленно установить patch невозможно, максимально изолируйте instance. Ограничьте публичный доступ, проверьте правила WAF или reverse proxy и отслеживайте request patterns, нацеленные на уязвимый path. Если CMS доступна из интернета и не нужна, лучше убрать окно exposure, а не считать, что низкий трафик равен низкому риску.
Итог#
CVE-2026-29014 — это CMS flaw, которая быстро набирает обороты после попадания в active exploitation. Патч уже доступен, code path известен, а probes уже наблюдались.
Значит, это задача на проверку, а не повод для спора. Проверьте версию. Проверьте состояние plugin. Проверьте logs. А затем исходите из того, что интернет уже сделал то же самое.