Критична вразливість віддаленого виконання коду CVE-2026-29014 (CVSS 9.8) у MetInfo CMS версій 7.9, 8.0 та 8.1 вже активно експлуатується: зловмисники без автентифікації можуть виконувати довільний PHP-код через функціональність WeChat, отримуючи повний контроль над сервером, тому власникам MetInfo потрібно негайно встановити патчі від 7 квітня 2026 року та перевірити системи на ознаки компрометації.

Технічні деталі вразливості та експлуатації

Згідно із записом у NVD щодо CVE-2026-29014, вразливість являє собою неавтентифіковану ін’єкцію PHP-коду, що призводить до віддаленого виконання коду (RCE) у MetInfo CMS:

• Ідентифікатор: CVE-2026-29014
• Оцінка CVSS: 9.8 (критична)
• Уразливі версії: MetInfo CMS 7.9, 8.0, 8.1
• Вектор атаки: віддалений, без автентифікації
• Тип вразливості: ін’єкція PHP-коду з подальшим RCE

Дослідник безпеки Еджідіо Романо встановив, що проблема полягає у скрипті /app/system/weixin/include/class/weixinreply.class.php. Причина — недостатнє очищення користувацького вводу під час формування запитів до API Weixin (WeChat). Вхідні дані, отримані від віддаленого клієнта, потрапляють у шлях виконання без належної нейтралізації, що дає змогу впровадити довільний PHP-код.

Ключові технічні особливості:

• Не потребує облікового запису: зловмисник може використовувати вразливість повністю анонімно, що суттєво спрощує масове сканування та експлуатацію.
• Цільова поверхня — функціональність WeChat: експлойт використовує обробку Weixin API в MetInfo. Це робить особливо ризикованою інсталяцію та неповне або забуте ввімкнення офіційного плагіна WeChat.
• Умова для не-Windows систем: для успішної експлуатації на серверах, відмінних від Windows, має існувати каталог /cache/weixin/. Він створюється під час встановлення та налаштування офіційного плагіна WeChat.

У результаті віддалений зловмисник може надіслати спеціально сформований HTTP-запит, що містить шкідливий PHP-код, який буде записаний, а потім виконаний сервером. Це класичний сценарій експлуатації за моделлю MITRE ATT&CK T1190 Exploit Public-Facing Application, коли вразливий вебзастосунок стає вхідною точкою для повного захоплення інфраструктури.

MetInfo випустила виправлення 7 квітня 2026 року (для підтримуваних версій CMS). Уже 25 квітня зафіксовано перші успішні експлуатації на уразливих honeypot системах у США та Сінгапурі, а станом на 1 травня спостерігається помітне зростання активності, переважно з IP-адрес у Китаї та Гонконгу. За оцінкою VulnCheck, у мережі доступно близько 2 000 екземплярів MetInfo, більшість — у Китаї.

Контекст загрози: від точкових сканувань до масової експлуатації

Спостережувана динаміка атаки типова для критичних веб-вразливостей:

1. Фаза розвідки: у перші дні після публікації патча та інформації про вразливість були помічені «рідкісні та автоматизовані» спроби експлуатації проти honeypot систем. Це вказує на те, що експлойт був швидко інтегрований у сканери й бот-мережі.
2. Фаза нарощування масштабу: з 1 травня зафіксовано сплеск активності, сфокусований на IP-адресах у Китаї та Гонконгу, що корелює з географічним розподілом інсталяцій MetInfo (більшість екземплярів також розташовані в Китаї).

Поки що не повідомляється про прив’язку до конкретних угруповань або кампаній, але наявність уже робочого експлойта та масового сканування означає, що CVE-2026-29014 швидко переходить із категорії цільових атак у стандартний інструмент для автоматизованого зламу публічних вебсайтів.

Оцінка впливу та профіль ризику

Хто під найбільшою загрозою

• Організації та приватні особи, які використовують MetInfo CMS версій 7.9, 8.0, 8.1, особливо:
  • з установленим і хоч би раз налаштованим офіційним плагіном WeChat;
  • із серверами, доступними з інтернету без додаткової фільтрації або Web Application Firewall.
• Ресурси в Китаї та Гонконгу, де зосереджено більшість інсталяцій MetInfo і зафіксовано основний потік ворожої активності.

Можливі наслідки успішної експлуатації

Віддалене виконання довільного коду на PHP-сервері надає зловмиснику практично необмежені можливості:

• Повне захоплення сайту: зміна контенту, фішингові сторінки, впровадження шахрайських платіжних форм.
• Викрадення даних: витік вмісту баз даних (облікові записи, замовлення, персональні дані клієнтів, внутрішні документи).
• Розгортання додаткового шкідливого коду: встановлення web-shell, проксі, участь у бот-мережах, подальші атаки на внутрішню мережу.
• Репутаційні та юридичні втрати: якщо сайт обслуговує клієнтів або громадян, компрометація може спричинити претензії з боку регуляторів і контрагентів.

З огляду на неавтентифікований характер атаки та наявність автоматизованих сканувань, будь-яку не оновлену публічну інсталяцію MetInfo з увімкненою функціональністю WeChat слід розглядати як потенційно вже скомпрометовану.

Практичні рекомендації із захисту

1. Негайне оновлення MetInfo

1. Визначте поточну версію MetInfo CMS (в адміністративній панелі або за файлами версії).
2. Звірте її з інформацією з NVD щодо CVE-2026-29014 та офіційною документацією MetInfo, щоб переконатися, що ваш реліз належить до вразливих.
3. Встановіть патчі, випущені 7 квітня 2026 року, або оновіться до останньої доступної безпечної версії.

Пріоритет: терміновий (протягом найближчих годин для публічних систем, максимум — доби).

2. Перевірка умов експлуатації

Навіть після оновлення потрібно оцінити, чи могла вразливість бути використана раніше:

• Перевірте наявність каталогу /cache/weixin/ на сервері:
  • якщо каталог існує, але ви свідомо не використовуєте інтеграцію WeChat, це підвищує ризик непоміченої експлуатації;
• Перевірте журнали веб-сервера (access та error) на:
  • підозрілі запити до шляхів, пов’язаних із /weixin/ або weixinreply.class.php;
  • аномальні POST-запити з вбудованими PHP-конструкціями.

3. Пошук слідів компрометації

Зосередьтеся на ознаках постексплуатаційної активності:

• Пошук нових або змінених PHP-файлів у:
  • каталозі /cache/weixin/;
  • директоріях із правами запису для веб-сервера.
• Перевірка на наявність web-shell (нестандартні файли з невеликим розміром, незнайомими іменами, зокрема ті, що маскуються під системні).
• Аналіз вихідних з’єднань із сервера на предмет невідомих адрес та незвичного трафіку.
• Перегляд системних журналів на наявність нових облікових записів, змін прав доступу, спроб доступу до бази даних поза звичними шаблонами.

Якщо є підстави вважати, що експлуатація вже відбулася, доцільно розглядати систему як скомпрометовану: перевести її в режим реагування на інцидент, провести форензічний аналіз і за потреби виконати повне перевстановлення з відновленням із довіреної резервної копії.

4. Обмеження поверхні атаки

Навіть після встановлення патча варто зменшити ймовірність майбутніх веб-експлуатацій:

• Розмістіть MetInfo за зворотним проксі-сервером і ввімкніть правила Web Application Firewall для блокування типових ін’єкцій PHP і підозрілих параметрів.
• Обмежте доступ до адміністративної панелі за IP-адресами або через VPN.
• Видаліть або вимкніть невикористовувані плагіни, зокрема WeChat, якщо він не потрібен для бізнесу.
• Регулярно оновлюйте CMS, плагіни та залежні бібліотеки, не допускаючи накопичення вразливостей.

5. Пріоритизація в загальному управлінні вразливостями

CVE-2026-29014 слід віднести до найвищого пріоритету:

• Тип вразливості: віддалене виконання коду.
• Потрібні права: автентифікація не потрібна.
• Наявність експлойта: підтверджена експлуатація в реальних умовах.

У межах процесу управління вразливостями логічно віднести всі публічні сайти на MetInfo до категорії «негайного реагування» нарівні з іншими критичними вебплатформами.

Ключовий висновок: власникам MetInfo CMS версій 7.9, 8.0 та 8.1 потрібно в найкоротші строки встановити патчі від 7 квітня 2026 року, перевірити наявність і стан каталогу /cache/weixin/, проаналізувати журнали та файлову систему на ознаки експлуатації CVE-2026-29014 і, у разі виявлення аномалій, провести повноцінне розслідування інциденту з подальшим відновленням із довіреної резервної копії.