Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Iscriviti al webinar gratuito del 26 Maggio per diventare SOC Specialist! Scopri di più
CVE-2026-29014 su MetInfo CMS: hacker eseguono codice da remoto, siti a rischio massimo (CVSS 9.8)
Una vulnerabilità critica in MetInfo CMS sta venendo sfruttata attivamente per attacchi di remote code execution, con un impatto potenzialmente devastante per siti e server esposti su Internet. Il problema è tracciato come CVE 2026 29014 e ha un punteggio CVSS di 9.8, indice di rischio massimo.
La falla riguarda diverse versioni del CMS open source, in particolare le release 7.9, 8.0 e 8.1, e permette a un attaccante non autenticato di iniettare codice PHP e ottenere esecuzione di comandi sul server.
Il vettore di attacco nasce da una gestione non sicura degli input utente durante la generazione di richieste verso le API Weixin, conosciute anche come WeChat. In pratica, la sanitizzazione insufficiente dei dati consente di far passare payload malevoli che vengono poi interpretati come codice. Il file coinvolto nel percorso di esecuzione è app/system/weixin/include/class/weixinreply.class.php, dove la neutralizzazione degli input non risulta adeguata.
Per gli ambienti non Windows esiste anche una condizione tecnica importante per la riuscita dello sfruttamento: deve essere presente la directory cache/weixin. Questa cartella viene creata quando si installa e configura il plugin ufficiale WeChat. Se il plugin è in uso, il prerequisito è spesso già soddisfatto, aumentando la superficie di attacco e rendendo più semplice l’automazione degli exploit.
Le patch di sicurezza per CVE 2026 29014 sono state rilasciate il 7 aprile 2026, ma l’attività di exploitation è stata osservata a partire dal 25 aprile, inizialmente con tentativi limitati e probing automatizzato. Nei giorni successivi l’intensità è cresciuta, fino a un picco rilevato il 1 maggio 2026. Le campagne hanno mostrato particolare attenzione verso indirizzi IP in Cina e Hong Kong, coerentemente con la diffusione del CMS. Si stima che circa 2000 istanze di MetInfo CMS siano raggiungibili online, con la maggior parte localizzata in Cina.
Per ridurre il rischio di compromissione è fondamentale aggiornare immediatamente MetInfo CMS alle versioni corrette, verificare la presenza e l’uso del plugin WeChat, controllare la directory cache/weixin e rivedere log e indicatori di compromissione per eventuali esecuzioni anomale di PHP o richieste sospette.