### MetInfo CMS Code-Injection-Schwachstelle (CVE-2026-29014) wird aktiv ausgenutzt Laut neuen Erkenntnissen von **VulnCheck** wird eine kritische Sicherheitslücke, die **MetInfo**, ein Open-Source-CMS, betrifft, aktiv ausgenutzt. Die Schwachstelle, **CVE-2026-29014** (CVSS-Score: 9.8), ist eine Code-Injection-Schwachstelle, die zur Ausführung von beliebigem Code führen kann. Laut der National Vulnerability Database (NVD) des **NIST** enthalten „**MetInfo** CMS-Versionen 7.9, 8.0 und 8.1 eine nicht authentifizierte PHP-Code-Injection-Schwachstelle, die es entfernten Angreifern ermöglicht, beliebigen Code auszuführen, indem sie präparierte Anfragen mit bösartigem PHP-Code senden.“ Die NVD führt weiter aus: „Angreifer können eine unzureichende Eingabe-Neutralisierung im Ausführungspfad ausnutzen, um eine entfernte Codeausführung zu erreichen und die vollständige Kontrolle über den betroffenen Server zu erlangen.“ ### Grundursache und Exploit-Details Der Sicherheitsforscher Egidio Romano entdeckte die Schwachstelle und führte das Problem auf das Skript „/app/system/weixin/include/class/weixinreply.class.php“ zurück. Die Schwachstelle beruht auf einer unzureichenden Bereinigung von Benutzereingaben bei der Ausgabe von Weixin (auch bekannt als WeChat) API-Anfragen. Entfernte, nicht authentifizierte Angreifer können diese Lücke ausnutzen, um beliebigen PHP-Code einzuschleusen und auszuführen. Eine Voraussetzung für eine erfolgreiche Ausnutzung auf Nicht-Windows-Servern ist das Vorhandensein des Verzeichnisses „/cache/weixin/“, das während der Installation und Konfiguration des offiziellen WeChat-Plugins erstellt wird. ### Patch-Verfügbarkeit und Ausnutzungstrends **MetInfo** veröffentlichte am 7. April 2026 Patches für **CVE-2026-29014**. Ausnutzungsversuche begannen um den 25. April, wobei anfängliche Aktivitäten auf Honeypots in den USA und Singapur abzielten. **Caitlin Condon**, Vizepräsidentin für Sicherheitsforschung bei **VulnCheck**, stellte am 1. Mai 2026 einen Anstieg der Aktivitäten fest, die von IP-Adressen aus China und Hongkong ausgingen. Ungefähr 2.000 Instanzen von **MetInfo** CMS sind online zugänglich, hauptsächlich in China.