Die kritische Remote Code Execution-Schwachstelle CVE-2026-29014 (CVSS 9.8) in MetInfo CMS in den Versionen 7.9, 8.0 und 8.1 wird bereits aktiv ausgenutzt: Angreifer können ohne Authentifizierung über die WeChat-Funktionalität beliebigen PHP-Code ausführen und so die vollständige Kontrolle über den Server übernehmen. Betreiber von MetInfo müssen daher umgehend die Patches vom 7. April 2026 installieren und ihre Systeme auf Anzeichen einer Kompromittierung prüfen.

Technische Details der Schwachstelle und der Ausnutzung

Laut Eintrag in der NVD zu CVE-2026-29014 handelt es sich um eine nicht authentifizierte PHP-Code-Injektion, die zu Remote Code Execution (RCE) in MetInfo CMS führt:

• Bezeichner: CVE-2026-29014
• CVSS-Bewertung: 9.8 (kritisch)
• Betroffene Versionen: MetInfo CMS 7.9, 8.0, 8.1
• Angriffsvektor: remote, ohne Authentifizierung
• Art der Schwachstelle: PHP-Code-Injektion mit anschließender RCE

Der Sicherheitsforscher Egidio Romano stellte fest, dass das Problem im Skript /app/system/weixin/include/class/weixinreply.class.php wurzelt. Ursache ist eine unzureichende Bereinigung der Benutzereingaben bei der Erstellung von Anfragen an die Weixin- (WeChat-)API. Die vom entfernten Client empfangenen Eingabedaten gelangen ohne ausreichende Neutralisierung in den Ausführungspfad, was die Injektion beliebigen PHP-Codes ermöglicht.

Wesentliche technische Merkmale:

• Kein Benutzerkonto erforderlich: Ein Angreifer kann die Schwachstelle vollständig anonym ausnutzen, was massenhaftes Scanning und Exploitation erheblich erleichtert.
• Angriffsoberfläche – WeChat-Funktionalität: Der Exploit missbraucht die Verarbeitung der Weixin API in MetInfo. Besonders riskant sind Installationen mit installiertem und (teilweise) konfiguriertem, aber vergessenen oder unvollständig deaktiviertem offiziellen WeChat-Plugin.
• Bedingung für Nicht-Windows-Systeme: Für eine erfolgreiche Ausnutzung auf Servern, die nicht unter Windows laufen, muss das Verzeichnis /cache/weixin/ existieren. Dieses wird bei Installation und Konfiguration des offiziellen WeChat-Plugins angelegt.

In der Folge kann ein entfernter Angreifer eine speziell präparierte HTTP-Anfrage senden, die bösartigen PHP-Code enthält, welcher vom Server geschrieben und anschließend ausgeführt wird. Dies entspricht einem klassischen Ausnutzungsszenario nach dem Modell MITRE ATT&CK T1190 Exploit Public-Facing Application, bei dem eine verwundbare Webanwendung als Einstiegspunkt für die vollständige Übernahme der Infrastruktur dient.

MetInfo veröffentlichte am 7. April 2026 Patches (für unterstützte CMS-Versionen). Bereits am 25. April wurden erste erfolgreiche Exploits auf verwundbaren Honeypot-Systemen in den USA und Singapur beobachtet, und bis zum 1. Mai ist ein deutlicher Anstieg der Aktivität zu verzeichnen, vorwiegend von IP-Adressen aus China und Hongkong. Nach Einschätzung von VulnCheck sind im Netz etwa 2.000 MetInfo-Instanzen erreichbar, die meisten davon in China.

Bedrohungskontext: von punktuellen Scans zur massenhaften Ausnutzung

Die beobachtete Angriffsdynamik ist typisch für kritische Web-Schwachstellen:

1. Aufklärungsphase: In den ersten Tagen nach Veröffentlichung des Patches und der Informationen zur Schwachstelle wurden „vereinzelte und automatisierte“ Exploit-Versuche gegen Honeypot-Systeme registriert. Dies weist darauf hin, dass der Exploit schnell in Scanner und Botnetze integriert wurde.
2. Skalierungsphase: Ab dem 1. Mai wurde ein deutlicher Aktivitätssprung festgestellt, der sich auf IP-Adressen in China und Hongkong konzentriert – im Einklang mit der geografischen Verteilung der MetInfo-Installationen (die Mehrzahl der Instanzen befindet sich ebenfalls in China).

Bislang gibt es keine Berichte über eine Zuordnung zu bestimmten Gruppen oder Kampagnen, doch das Vorhandensein eines funktionierenden Exploits und massenhaftes Scanning bedeuten, dass CVE-2026-29014 sich rasch von einer Schwachstelle für zielgerichtete Angriffe zu einem Standardwerkzeug für die automatisierte Kompromittierung öffentlich erreichbarer Websites entwickelt.

Auswirkungsanalyse und Risikoprofil

Besonders gefährdete Zielgruppen

• Organisationen und Privatpersonen, die MetInfo CMS in den Versionen 7.9, 8.0, 8.1 einsetzen, insbesondere:
  • mit installiertem und irgendwann konfiguriertem offiziellen WeChat-Plugin;
  • mit aus dem Internet erreichbaren Servern ohne zusätzliche Filterung oder Web Application Firewall.
• Ressourcen in China und Hongkong, wo der Großteil der MetInfo-Installationen konzentriert ist und der Hauptstrom bösartiger Aktivität beobachtet wird.

Mögliche Folgen einer erfolgreichen Ausnutzung

Remote Code Execution mit beliebigem Code auf einem PHP-Server verschafft dem Angreifer nahezu unbegrenzte Möglichkeiten:

• Vollständige Übernahme der Website: Veränderung von Inhalten, Phishing-Seiten, Einschleusen betrügerischer Zahlungsformulare.
• Datendiebstahl: Abfluss von Datenbankinhalten (Konten, Bestellungen, personenbezogene Kundendaten, interne Dokumente).
• Verteilung weiterer Schadsoftware: Installation von Web-Shells, Proxies, Einbindung in Botnetze, Folgeangriffe auf das interne Netzwerk.
• Reputations- und Rechtsfolgen: Wenn die Website Kunden oder Bürger bedient, kann eine Kompromittierung zu Forderungen von Aufsichtsbehörden und Geschäftspartnern führen.

Angesichts des nicht authentifizierten Angriffsvektors und bereits laufender automatisierter Scans sollte jede nicht aktualisierte, öffentlich erreichbare MetInfo-Installation mit aktivierter WeChat-Funktionalität als potenziell bereits kompromittiert betrachtet werden.

Praktische Schutzempfehlungen

1. Sofortige Aktualisierung von MetInfo

1. Ermitteln Sie die aktuell eingesetzte Version von MetInfo CMS (in der Administrationsoberfläche oder anhand der Versionsdateien).
2. Vergleichen Sie diese mit den Angaben in der NVD zu CVE-2026-29014 und der offiziellen MetInfo-Dokumentation, um sicherzustellen, dass Ihre Version zu den verwundbaren gehört.
3. Installieren Sie die am 7. April 2026 veröffentlichten Patches oder aktualisieren Sie auf die aktuell verfügbare, als sicher eingestufte Version.

Priorität: dringend (innerhalb der nächsten Stunden für öffentlich erreichbare Systeme, maximal innerhalb eines Tages).

2. Überprüfung der Ausnutzungsbedingungen

Selbst nach einem Update muss bewertet werden, ob die Schwachstelle bereits zuvor ausgenutzt worden sein könnte:

• Prüfen Sie, ob auf dem Server das Verzeichnis /cache/weixin/ vorhanden ist:
  • Existiert das Verzeichnis, obwohl Sie keine bewusste WeChat-Integration nutzen, erhöht dies das Risiko einer unbemerkten Ausnutzung;
• Überprüfen Sie die Webserver-Logs (access und error) auf:
  • verdächtige Anfragen zu Pfaden im Zusammenhang mit /weixin/ oder weixinreply.class.php;
  • ungewöhnliche POST-Anfragen mit eingebetteten PHP-Konstrukten.

3. Threat Hunting nach Kompromittierungsindikatoren

Konzentrieren Sie sich auf Anzeichen post-exploitiver Aktivität:

• Suche nach neuen oder veränderten PHP-Dateien in:
  • dem Verzeichnis /cache/weixin/;
  • Verzeichnissen mit Schreibrechten für den Webserver.
• Prüfung auf Web-Shells (untypische Dateien mit kleiner Größe, unbekannten Namen, teils als Systemdateien getarnt).
• Analyse ausgehender Verbindungen des Servers auf unbekannte Ziele und ungewöhnlichen Traffic.
• Durchsicht der Systemprotokolle auf neue Benutzerkonten, geänderte Berechtigungen, Zugriffsversuche auf die Datenbank außerhalb normaler Muster.

Besteht der begründete Verdacht, dass ein Exploit bereits erfolgreich war, sollte das System als kompromittiert betrachtet werden: Wechsel in den Incident-Response-Modus, Durchführung einer forensischen Analyse und bei Bedarf vollständige Neuinstallation mit Wiederherstellung aus einem vertrauenswürdigen Backup.

4. Reduzierung der Angriffsoberfläche

Auch nach Installation des Patches sollte die Wahrscheinlichkeit zukünftiger Web-Exploits verringert werden:

• Betreiben Sie MetInfo hinter einem Reverse Proxy und aktivieren Sie Web Application Firewall-Regeln zur Blockierung typischer PHP-Injektionen und verdächtiger Parameter.
• Beschränken Sie den Zugriff auf das Administrations-Backend per IP-Filter oder über VPN.
• Entfernen oder deaktivieren Sie nicht genutzte Plugins, einschließlich WeChat, sofern es geschäftlich nicht benötigt wird.
• Aktualisieren Sie CMS, Plugins und abhängige Bibliotheken regelmäßig, um keine Schwachstellen anzusammeln.

5. Priorisierung im übergreifenden Vulnerability Management

CVE-2026-29014 sollte in die höchste Prioritätsstufe eingeordnet werden:

• Art der Schwachstelle: Remote Code Execution.
• Erforderliche Rechte: keine Authentifizierung notwendig.
• Verfügbarkeit eines Exploits: bestätigte Ausnutzung unter Realbedingungen.

Im Rahmen des Vulnerability Managements ist es sinnvoll, alle öffentlichen MetInfo-Websites in die Kategorie „sofortige Reaktion“ einzuordnen – gleichauf mit anderen kritischen Web-Plattformen.

Zentrale Schlussfolgerung: Betreiber von MetInfo CMS in den Versionen 7.9, 8.0 und 8.1 müssen in kürzestmöglicher Zeit die Patches vom 7. April 2026 installieren, das Vorhandensein und den Zustand des Verzeichnisses /cache/weixin/ prüfen, Logs und Dateisystem auf Anzeichen einer Ausnutzung von CVE-2026-29014 analysieren und bei festgestellten Auffälligkeiten eine umfassende Incident-Untersuchung mit anschließender Wiederherstellung aus einem vertrauenswürdigen Backup durchführen.