MetInfo CMS CVE-2026-29014 被利用进行远程代码执行攻击

Source: The Hacker News

漏洞概述

• CVE 编号: CVE-2026-29014
• CVSS 评分: 9.8（严重）
• 类型: 未经身份验证的 PHP 代码注入 → 远程代码执行 (RCE)
• 受影响软件: MetInfo CMS 7.9、8.0、8.1（开源）

美国国家标准与技术研究院（NIST）漏洞数据库指出，此缺陷源于输入中和不足，攻击者可利用该漏洞实现远程代码执行并完全控制受影响的服务器。

技术细节

受影响组件

漏洞出现在文件：

/app/system/weixin/include/class/weixinreply.class.php

该脚本在构造微信 API 请求时未正确对用户提供的输入进行清理。

利用前提条件

• 目标必须在 非 Windows 服务器上运行 MetInfo。
• 必须存在 /cache/weixin/ 目录。该目录在官方微信插件的安装和配置过程中创建。

满足上述条件后，未认证的攻击者即可通过构造的 HTTP 请求注入任意 PHP 代码。

利用活动

• 首次公开披露: 2026 年 4 月 7 日（MetInfo 发布补丁）。
• 首次观察到利用: 2026 年 4 月 25 日，针对美国和新加坡的蜜罐出现少量利用。
• 活动激增: 2026 年 5 月 1 日，重点针对中国大陆和香港的 IP 地址。
• 影响范围: 大约 2,000 个公开可访问的 MetInfo 实例，绝大多数位于中国。

缓解措施与补丁

MetInfo 于 2026 年 4 月 7 日 发布了针对 CVE‑2026‑29014 的安全更新。管理员应：

1. 从 MetInfo 官方网站应用官方补丁：.
2. 确认 /cache/weixin/ 目录是否存在，若不需要微信插件则将其删除。
3. 限制对易受攻击端点的访问（例如通过 Web 应用防火墙），直至补丁生效。
4. 监控日志，留意针对 weixinreply.class.php 的可疑请求。

参考资料

• NVD 中的 CVE‑2026‑29014 条目：
• Egidio Romano 的原始发现：
• MetInfo 安全公告（补丁发布）：
• Caitlin Condon（VulnCheck）的评论：