### Vulnérabilité d'injection de code dans MetInfo CMS (CVE-2026-29014) activement exploitée Selon de nouvelles découvertes de **VulnCheck**, une faille de sécurité critique affectant **MetInfo**, un CMS open-source, est activement exploitée. La vulnérabilité, **CVE-2026-29014** (score CVSS : 9.8), est une faille d'injection de code pouvant entraîner une exécution de code arbitraire. Selon la base de données nationale sur les vulnérabilités (NVD) du **NIST**, "les versions 7.9, 8.0 et 8.1 de **MetInfo** CMS contiennent une vulnérabilité d'injection de code PHP non authentifiée qui permet aux attaquants distants d'exécuter du code arbitraire en envoyant des requêtes spécialement conçues avec du code PHP malveillant." La NVD précise en outre : "Les attaquants peuvent exploiter une neutralisation insuffisante des entrées dans le chemin d'exécution pour parvenir à une exécution de code à distance et obtenir un contrôle total sur le serveur affecté." ### Cause profonde et détails de l'exploit Le chercheur en sécurité Egidio Romano a découvert la vulnérabilité, identifiant le problème dans le script "/app/system/weixin/include/class/weixinreply.class.php". La vulnérabilité découle d'une mauvaise désinfection des entrées fournies par l'utilisateur lors de l'émission de requêtes API Weixin (également connu sous le nom de WeChat). Les attaquants distants non authentifiés peuvent exploiter cette faille pour injecter et exécuter du code PHP arbitraire. Une condition préalable à une exploitation réussie sur les serveurs non Windows est l'existence du répertoire "/cache/weixin/", qui est créé lors de l'installation et de la configuration du plugin officiel WeChat. ### Disponibilité des correctifs et tendances d'exploitation **MetInfo** a publié des correctifs pour **CVE-2026-29014** le 7 avril 2026. Les tentatives d'exploitation ont commencé vers le 25 avril, avec une activité initiale ciblant des honeypots aux États-Unis et à Singapour. **Caitlin Condon**, vice-présidente de la recherche en sécurité chez **VulnCheck**, a noté une augmentation de l'activité le 1er mai 2026, provenant d'adresses IP de Chine et de Hong Kong. Environ 2 000 instances de **MetInfo** CMS sont accessibles en ligne, principalement situées en Chine.