MetInfo CMS pod ostrzałem: aktywne wykorzystanie krytycznej luki CVE-2026-29014 prowadzi do zdalnego wykonania kodu - Security Bez Tabu

MetInfo CMS pod ostrzałem: aktywne wykorzystanie krytycznej luki CVE-2026-29014 prowadzi do zdalnego wykonania kodu

Cybersecurity news

Wprowadzenie do problemu / definicja

MetInfo CMS znalazł się w centrum uwagi po ujawnieniu krytycznej podatności CVE-2026-29014, która umożliwia nieuwierzytelnione zdalne wykonanie kodu na serwerze. Tego typu luka należy do najgroźniejszych klas błędów bezpieczeństwa w aplikacjach webowych, ponieważ pozwala napastnikowi przejąć kontrolę nad podatną instancją bez konieczności logowania.

Problem dotyczy mechanizmu przetwarzania danych wejściowych w ścieżce powiązanej z funkcjami Weixin/WeChat. W praktyce oznacza to, że odpowiednio spreparowane żądanie HTTP może doprowadzić do wykonania złośliwego kodu PHP po stronie serwera.

W skrócie

  • CVE-2026-29014 to krytyczna luka w MetInfo CMS oceniona na 9.8 w skali CVSS v3.1.
  • Podatne mają być wersje 7.9, 8.0 i 8.1.
  • Błąd umożliwia nieuwierzytelnione zdalne wykonanie kodu.
  • Poprawki opublikowano 7 kwietnia 2026 r.
  • Oznaki aktywnego wykorzystania obserwowano od 25 kwietnia 2026 r., a na początku maja aktywność wzrosła.

Kontekst / historia

MetInfo to otwartoźródłowy system zarządzania treścią wykorzystywany do budowy i utrzymywania witryn internetowych. Jak w przypadku wielu platform webowych, szczególnie niebezpieczne okazują się błędy obecne w komponentach obsługujących integracje z dodatkowymi usługami i modułami.

W przypadku CVE-2026-29014 problem został opisany jako luka typu PHP code injection prowadząca do remote code execution. Publicznie dostępne analizy wskazują, że podatność występuje w komponencie odpowiedzialnym za funkcje związane z Weixin/WeChat. Krótki czas między publikacją poprawek a odnotowaniem prób wykorzystania pokazuje, jak szybko cyberprzestępcy adaptują nowe exploity do zautomatyzowanych kampanii skanujących.

Analiza techniczna

Źródłem problemu jest niewystarczająca sanitacja danych wejściowych przekazywanych do ścieżki wykonania związanej z obsługą żądań API Weixin. Aplikacja przyjmuje dane kontrolowane przez użytkownika i przetwarza je w kontekście, który umożliwia wstrzyknięcie oraz wykonanie kodu PHP.

Tego rodzaju błąd można zaklasyfikować do kategorii CWE-94, czyli nieprawidłowej kontroli generowania kodu. Dla atakującego jest to wyjątkowo atrakcyjna podatność, ponieważ pozwala przejść od pojedynczego żądania HTTP do wykonania poleceń na serwerze, instalacji webshella, pobrania dodatkowych ładunków lub przejęcia danych aplikacyjnych.

Analizy wskazują również, że w środowiskach innych niż Windows skuteczna eksploatacja może zależeć od obecności katalogu cache powiązanego z modułem WeChat. Oznacza to, że rzeczywisty poziom ekspozycji zależy nie tylko od wersji CMS, ale także od aktywnych komponentów i konfiguracji wdrożenia.

Typowy łańcuch ataku może wyglądać następująco:

  • napastnik identyfikuje publicznie dostępną instancję MetInfo,
  • wysyła spreparowane żądanie zawierające złośliwy ładunek,
  • aplikacja błędnie przetwarza dane wejściowe,
  • dochodzi do wykonania arbitralnego kodu po stronie serwera,
  • atakujący utrwala dostęp i wdraża kolejne narzędzia.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2026-29014 należy ocenić jako wysokie do krytycznego. Brak wymogu uwierzytelnienia znacząco obniża próg wejścia dla napastników i zwiększa skalę potencjalnych ataków oportunistycznych.

  • pełne przejęcie serwera aplikacyjnego,
  • instalacja webshelli i backdoorów,
  • modyfikacja treści strony internetowej,
  • kradzież danych z baz danych i plików konfiguracyjnych,
  • wykorzystanie serwera do dalszego ruchu bocznego,
  • wdrożenie ransomware lub koparek kryptowalut.

Szczególnie niebezpieczne są środowiska, w których CMS działa z nadmiernymi uprawnieniami lub współdzieli zasoby z innymi aplikacjami. W takim układzie pojedyncza luka może stać się punktem wejścia do szerszego naruszenia infrastruktury oraz poważnego incydentu biznesowego.

Rekomendacje

Organizacje korzystające z MetInfo CMS powinny potraktować ten problem priorytetowo i wdrożyć działania ograniczające ekspozycję.

  • Niezwłocznie zaktualizować MetInfo CMS do wersji zawierającej poprawki producenta.
  • Zweryfikować wszystkie publicznie dostępne instancje, w tym środowiska testowe i zapomniane subdomeny.
  • Sprawdzić, czy komponenty Weixin/WeChat są zainstalowane i aktywne.
  • Przeanalizować logi pod kątem prób exploitacji, błędów PHP oraz nietypowych żądań HTTP.
  • Skontrolować integralność środowiska pod kątem webshelli, zadań harmonogramu, nieautoryzowanych kont i podejrzanych procesów.
  • Ograniczyć powierzchnię ataku przez wyłączenie nieużywanych funkcji, segmentację sieci i zasadę najmniejszych uprawnień.
  • Wdrożyć dodatkowe mechanizmy detekcji, takie jak WAF, EDR/XDR i monitoring anomalii w ruchu aplikacyjnym.
  • W razie podejrzenia kompromitacji przeprowadzić pełną analizę incydentu, rotację poświadczeń i odbudowę systemu z zaufanego źródła.

Podsumowanie

CVE-2026-29014 w MetInfo CMS to przykład krytycznej podatności webowej, która bardzo szybko przeszła z etapu ujawnienia do fazy aktywnego wykorzystania. Połączenie braku uwierzytelnienia, możliwości zdalnego wykonania kodu oraz obecności publicznie wystawionych instancji sprawia, że zagrożenie ma wysoki priorytet operacyjny.

Dla zespołów bezpieczeństwa najważniejsze są trzy kroki: szybkie wdrożenie poprawek, sprawdzenie oznak kompromitacji oraz ograniczenie ekspozycji komponentów powiązanych z Weixin/WeChat. Każda organizacja korzystająca z MetInfo powinna zakładać, że podatne systemy już znajdują się w zasięgu zautomatyzowanych kampanii skanujących.

Źródła

  1. The Hacker News — MetInfo CMS CVE-2026-29014 exploited
  2. NVD — CVE-2026-29014
  3. MetInfo Official Website