Vulnerabilidade Crítica de Injeção de Código no MetInfo CMS Sendo Explorada Ativamente
Atores de ameaças estão explorando ativamente uma vulnerabilidade crítica de injeção de código, **CVE-2026-29014**, no sistema de gerenciamento de conteúdo (CMS) de código aberto **MetInfo**. A vulnerabilidade permite que atacantes remotos não autenticados executem código arbitrário, potencialmente obtendo controle total sobre servidores afetados.
### Vulnerabilidade de Injeção de Código no MetInfo CMS (CVE-2026-29014) Sob Exploração Ativa
De acordo com novas descobertas da **VulnCheck**, uma falha de segurança crítica que afeta o **MetInfo**, um CMS de código aberto, está sendo ativamente explorada.
A vulnerabilidade, **CVE-2026-29014** (pontuação CVSS: 9.8), é uma falha de injeção de código que pode levar à execução de código arbitrário.
De acordo com o Banco de Dados Nacional de Vulnerabilidades (NVD) do **NIST**, "as versões 7.9, 8.0 e 8.1 do **MetInfo** CMS contêm uma vulnerabilidade de injeção de código PHP não autenticada que permite que atacantes remotos executem código arbitrário enviando requisições elaboradas com código PHP malicioso."
O NVD afirma ainda: "Atacantes podem explorar a neutralização insuficiente de entrada no caminho de execução para alcançar a execução remota de código e obter controle total sobre o servidor afetado."
### Causa Raiz e Detalhes do Exploit
O pesquisador de segurança Egidio Romano descobriu a vulnerabilidade, rastreando o problema até o script "/app/system/weixin/include/class/weixinreply.class.php". A vulnerabilidade decorre da sanitização inadequada da entrada fornecida pelo usuário ao emitir requisições para a API Weixin (também conhecida como WeChat).
Atacantes remotos não autenticados podem explorar essa brecha para injetar e executar código PHP arbitrário. Um pré-requisito para a exploração bem-sucedida em servidores não Windows é a existência do diretório "/cache/weixin/", que é criado durante a instalação e configuração do plugin oficial do WeChat.
### Disponibilidade de Patch e Tendências de Exploração
O **MetInfo** lançou patches para a **CVE-2026-29014** em 7 de abril de 2026. As tentativas de exploração começaram por volta de 25 de abril, com atividade inicial visando honeypots nos EUA e em Singapura.
**Caitlin Condon**, vice-presidente de pesquisa de segurança na **VulnCheck**, observou um aumento na atividade em 1º de maio de 2026, originada de endereços IP da China e de Hong Kong. Aproximadamente 2.000 instâncias do **MetInfo** CMS estão acessíveis online, localizadas principalmente na China.