### Vulnerabilidad de Inyección de Código en MetInfo CMS (CVE-2026-29014) Bajo Explotación Activa Según nuevos hallazgos de **VulnCheck**, una falla de seguridad crítica que afecta a **MetInfo**, un CMS de código abierto, está siendo explotada activamente. La vulnerabilidad, **CVE-2026-29014** (puntaje CVSS: 9.8), es una falla de inyección de código que puede llevar a la ejecución de código arbitrario. Según la Base de Datos Nacional de Vulnerabilidades (NVD) del **NIST**, "las versiones 7.9, 8.0 y 8.1 de **MetInfo** CMS contienen una vulnerabilidad de inyección de código PHP no autenticada que permite a atacantes remotos ejecutar código arbitrario enviando solicitudes manipuladas con código PHP malicioso." La NVD además declara: "Los atacantes pueden explotar la neutralización insuficiente de la entrada en la ruta de ejecución para lograr la ejecución remota de código y obtener control total sobre el servidor afectado." ### Causa Raíz y Detalles del Exploit El investigador de seguridad Egidio Romano descubrió la vulnerabilidad, rastreando el problema hasta el script "/app/system/weixin/include/class/weixinreply.class.php". La vulnerabilidad se origina en la sanitización inadecuada de la entrada proporcionada por el usuario al emitir solicitudes a la API de Weixin (también conocida como WeChat). Los atacantes remotos no autenticados pueden explotar esta laguna para inyectar y ejecutar código PHP arbitrario. Un requisito previo para la explotación exitosa en servidores no Windows es la existencia del directorio "/cache/weixin/", que se crea durante la instalación y configuración del plugin oficial de WeChat. ### Disponibilidad de Parches y Tendencias de Explotación **MetInfo** lanzó parches para **CVE-2026-29014** el 7 de abril de 2026. Los intentos de explotación comenzaron alrededor del 25 de abril, con actividad inicial dirigida a honeypots en EE. UU. y Singapur. **Caitlin Condon**, vicepresidenta de investigación de seguridad en **VulnCheck**, notó un aumento en la actividad el 1 de mayo de 2026, originada desde direcciones IP de China y Hong Kong. Aproximadamente 2.000 instancias de **MetInfo** CMS son accesibles en línea, ubicadas principalmente en China.