Los actores de amenazas están explotando activamente una falla de seguridad crítica que afecta a un sistema de gestión de contenidos (CMS) de código abierto conocido como MetInfo, según nuevos hallazgos de VulnCheck.
La vulnerabilidad en cuestión es CVE-2026-29014 (Puntuación CVSS: 9,8), una falla de inyección de código que podría resultar en la ejecución de código arbitrario.
«Las versiones 7.9, 8.0 y 8.1 de MetInfo CMS contienen una vulnerabilidad de inyección de código PHP no autenticado que permite a atacantes remotos ejecutar código arbitrario enviando solicitudes diseñadas con código PHP malicioso», según la Base de datos nacional de vulnerabilidades (NVD) del NIST. estados.
«Los atacantes pueden aprovechar una neutralización de entrada insuficiente en la ruta de ejecución para lograr la ejecución remota del código y obtener control total sobre el servidor afectado».
Según el investigador de seguridad Egidio Romano, quien descubierto Debido a la vulnerabilidad, el problema tiene su origen en el script «/app/system/weixin/include/class/weixinreply.class.php» y surge de una falta de desinfección adecuada de la entrada proporcionada por el usuario al emitir solicitudes de API de Weixin (también conocido como WeChat).
Como resultado, atacantes remotos y no autenticados podrían aprovechar esta laguna para inyectar y ejecutar código PHP arbitrario. Un requisito previo clave para una explotación exitosa cuando MetInfo se ejecuta en servidores que no son Windows es que el directorio «/cache/weixin/» debe existir de antemano. El directorio se crea al instalar y configurar el complemento oficial de WeChat.
Los parches para CVE-2026-29014 fueron liberado por MetInfo el 7 de abril de 2026. Desde entonces, la vulnerabilidad ha estado bajo explotación a partir del 25 de abril, con una «pequeña cantidad de exploits» implementados contra honeypots susceptibles ubicados en los EE. UU. y Singapur.
Aunque estos esfuerzos fueron inicialmente escasos y asociados con sondeos automatizados, la actividad experimentó un aumento el 1 de mayo de 2026, centrándose en las direcciones IP de China y Hong Kong, Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck, dicho. Se puede acceder en línea a hasta 2.000 instancias de MetInfo CMS, la mayoría de las cuales se encuentran en China.
