Критическая уязвимость удалённого выполнения кода CVE-2026-29014 (CVSS 9.8) в MetInfo CMS версиях 7.9, 8.0 и 8.1 уже активно эксплуатируется: атакующие без аутентификации могут выполнять произвольный PHP-код через WeChat-функциональность, получая полный контроль над сервером, поэтому владельцам MetInfo необходимо немедленно установить патчи от 7 апреля 2026 года и проверить системы на признаки компрометации.

Технические детали уязвимости и эксплуатации

Согласно записи в NVD по CVE-2026-29014, уязвимость представляет собой неаутентифицированную инъекцию PHP-кода, ведущую к удалённому выполнению кода (RCE) в MetInfo CMS:

• Идентификатор: CVE-2026-29014
• Оценка CVSS: 9.8 (критическая)
• Затронутые версии: MetInfo CMS 7.9, 8.0, 8.1
• Вектор атаки: удалённый, без аутентификации
• Тип уязвимости: инъекция PHP-кода с последующим RCE

Исследователь безопасности Эджидио Романо установил, что проблема коренится в скрипте /app/system/weixin/include/class/weixinreply.class.php. Причина — недостаточная очистка пользовательского ввода при формировании запросов к API Weixin (WeChat). Входные данные, полученные от удалённого клиента, попадают в путь исполнения без надлежащей нейтрализации, что позволяет внедрить произвольный PHP-код.

Ключевые технические особенности:

• Не требует учётной записи: атакующий может использовать уязвимость полностью анонимно, что существенно облегчает массовое сканирование и эксплуатацию.
• Целевая поверхность — WeChat-функциональность: эксплойт использует обработку Weixin API в MetInfo. Это делает особо рискованной установку и неполное или забытое включение официального плагина WeChat.
• Условие для не-Windows систем: для успешной эксплуатации на серверах, отличных от Windows, должен существовать каталог /cache/weixin/. Он создаётся при установке и настройке официального плагина WeChat.

В результате удалённый атакующий может отправить специально сформированный HTTP-запрос, содержащий вредоносный PHP-код, который будет записан и затем выполнен сервером. Это классический сценарий эксплуатации по модели MITRE ATT&CK T1190 Exploit Public-Facing Application, где уязвимый веб-приложение становится входной точкой для полного захвата инфраструктуры.

MetInfo выпустила исправления 7 апреля 2026 года (поддерживающие версии CMS). Уже 25 апреля зафиксированы первые успешные эксплуатации на уязвимых honeypot-системах в США и Сингапуре, а к 1 мая наблюдается заметный рост активности, преимущественно с IP-адресов в Китае и Гонконге. По оценке VulnCheck, в сети доступно около 2 000 экземпляров MetInfo, большинство — в Китае.

Контекст угроз: от точечных сканирований к массовой эксплуатации

Наблюдаемая динамика атаки типична для критических веб-уязвимостей:

1. Фаза разведки: в первые дни после публикации патча и информации об уязвимости были замечены «редкие и автоматизированные» попытки эксплуатации против honeypot-систем. Это указывает на то, что эксплойт был быстро интегрирован в сканеры и бот-сети.
2. Фаза наращивания масштаба: с 1 мая зафиксирован всплеск активности, сфокусированный на IP-адресах в Китае и Гонконге, что коррелирует с географическим распределением установок MetInfo (большинство экземпляров также расположены в Китае).

Пока не сообщается о привязке к конкретным группировкам или кампаниям, но наличие уже работающего эксплойта и массового сканирования означает, что CVE-2026-29014 быстро переходит из категории целевых атак в стандартный инструмент для автоматизированного взлома публичных веб-сайтов.

Оценка воздействия и профиль риска

Кто под наибольшей угрозой

• Организации и частные лица, использующие MetInfo CMS версий 7.9, 8.0, 8.1, особенно:
  • с установленным и когда-либо настраивавшимся официальным плагином WeChat;
  • с серверами, доступными из интернета без дополнительной фильтрации или Web Application Firewall.
• Ресурсы в Китае и Гонконге, где сосредоточено большинство установок MetInfo и зафиксирован основной поток враждебной активности.

Возможные последствия при успешной эксплуатации

Удалённое выполнение произвольного кода на PHP-сервере даёт атакующему практически неограниченные возможности:

• Полный захват сайта: изменение контента, фишинговые страницы, внедрение мошеннических платёжных форм.
• Кража данных: вытекание содержимого баз данных (учётные записи, заказы, личные данные клиентов, внутренние документы).
• Развёртывание дополнительного вредоносного кода: установка web-shell, прокси, участие в бот-сетях, дальнейшие атаки на внутреннюю сеть.
• Репутационный и юридический ущерб: если сайт обслуживает клиентов или граждан, компрометация может повлечь претензии регуляторов и контрагентов.

С учётом неаутентифицированного характера атаки и наличия автоматизированных сканирований, любая не обновлённая публичная установка MetInfo с включённой WeChat-функциональностью должна рассматриваться как потенциально уже скомпрометированная.

Практические рекомендации по защите

1. Немедленное обновление MetInfo

1. Определите текущую версию MetInfo CMS (в административной панели или по файлам версии).
2. Сопоставьте с информацией из NVD по CVE-2026-29014 и официальной документацией MetInfo, чтобы убедиться, что ваш релиз подпадает под уязвимые.
3. Установите патчи, выпущенные 7 апреля 2026 года, или обновитесь до последней доступной безопасной версии.

Приоритет: срочный (в течение ближайших часов для публичных систем, максимум — суток).

2. Проверка условий эксплуатации

Даже после обновления необходимо оценить, могла ли уязвимость быть использована ранее:

• Проверьте наличие каталога /cache/weixin/ на сервере:
  • если каталог существует, но вы не используете WeChat-интеграцию осознанно, это повышает риск незамеченной эксплуатации;
• Проверьте журналы веб-сервера (access и error) на:
  • подозрительные запросы к путям, связанным с /weixin/ или weixinreply.class.php;
  • аномальные POST-запросы с вложенными PHP-конструкциями.

3. Охота на следы компрометации

Сфокусируйтесь на признаках пост-эксплуатационной активности:

• Поиск новых или изменённых PHP-файлов в:
  • каталоге /cache/weixin/;
  • директориях с правами записи для веб-сервера.
• Проверка на наличие web-shell (нестандартные файлы с небольшим размером, незнакомыми именами, в том числе маскирующимися под системные).
• Анализ исходящих соединений с сервера на предмет неизвестных адресов и необычного трафика.
• Просмотр системных журналов на наличие новых учётных записей, изменений прав доступа, попыток доступа к базе данных вне обычных шаблонов.

Если есть основания полагать, что эксплуатация уже состоялась, целесообразно рассматривать систему как скомпрометированную: перевести её в режим инцидент-реагирования, провести форензику и при необходимости выполнить полное переустановление с восстановлением из доверенной резервной копии.

4. Ограничение поверхности атаки

Даже после установки патча стоит уменьшить вероятность будущих веб-эксплуатаций:

• Разместите MetInfo за обратным прокси и включите правила Web Application Firewall для блокировки типовых инъекций PHP и подозрительных параметров.
• Ограничьте доступ к административной панели по IP-адресам или через VPN.
• Удалите или выключите неиспользуемые плагины, в том числе WeChat, если он не нужен для бизнеса.
• Регулярно обновляйте CMS, плагины и зависимые библиотеки, не допуская накопления уязвимостей.

5. Приоритезация в общем управлении уязвимостями

CVE-2026-29014 следует отнести к высшему приоритету:

• Тип уязвимости: удалённое выполнение кода.
• Требуемые права: не требуется аутентификация.
• Наличие эксплойта: подтверждённая эксплуатация в реальных условиях.

Внутри процесса управления уязвимостями логично отнести все публичные MetInfo-сайты к категории «немедленного реагирования» наравне с другими критическими веб-платформами.

Ключевой вывод: владельцам MetInfo CMS версий 7.9, 8.0 и 8.1 необходимо в кратчайшие сроки установить патчи от 7 апреля 2026 года, проверить наличие и состояние каталога /cache/weixin/, проанализировать журналы и файловую систему на признаки эксплуатации CVE-2026-29014 и, при выявлении аномалий, провести полноценное расследование инцидента с последующим восстановлением из доверенной резервной копии.