### MetInfo CMS コードインジェクション脆弱性（CVE-2026-29014）が活発に悪用される **VulnCheck** による新たな調査によると、オープンソース CMS である **MetInfo** に影響を与えるクリティカルなセキュリティ上の欠陥が、現在活発に悪用されています。 この脆弱性、**CVE-2026-29014**（CVSS スコア: 9.8）は、任意のコード実行につながる可能性のあるコードインジェクションの脆弱性です。 **NIST** の National Vulnerability Database (NVD) によると、「**MetInfo** CMS バージョン 7.9、8.0、および 8.1 には、認証されていない PHP コードインジェクションの脆弱性が含まれており、リモート攻撃者が悪意のある PHP コードを含む細工されたリクエストを送信することで、任意のコードを実行できる」とされています。 NVD はさらに、「攻撃者は、実行パスにおける不十分な入力無害化を悪用して、リモートコード実行を達成し、影響を受けたサーバーの完全な制御を奪うことができる」と述べています。 ### 原因とエクスプロイトの詳細 セキュリティ研究者の Egidio Romano 氏がこの脆弱性を発見し、問題の原因を「/app/system/weixin/include/class/weixinreply.class.php」スクリプトに特定しました。この脆弱性は、Weixin（別名 WeChat）API リクエストを発行する際に、ユーザー提供の入力に対するサニタイズが不十分であることに起因します。 リモートの認証されていない攻撃者は、この抜け穴を悪用して任意の PHP コードをインジェクトし、実行することができます。非 Windows サーバーで正常に悪用するための前提条件は、「/cache/weixin/」ディレクトリが存在することです。これは、公式 WeChat プラグインのインストールと設定中に作成されます。 ### パッチの提供状況と悪用の傾向 **MetInfo** は、**CVE-2026-29014** に対するパッチを 2026 年 4 月 7 日にリリースしました。悪用の試みは 4 月 25 日頃に始まり、初期の活動は米国とシンガポールのハニーポットを標的としていました。 **VulnCheck** のセキュリティリサーチ担当副社長である **Caitlin Condon** 氏は、2026 年 5 月 1 日に中国と香港の IP アドレスから発生した活動の急増に言及しました。オンラインでアクセス可能な **MetInfo** CMS のインスタンスは約 2,000 件あり、主に中国に存在しています。