2026-05-05 00:00
← VoltarOs atores da ameaça estão explorando ativamente uma falha crítica de segurança que afeta um sistema de gerenciamento de conteúdo (CMS) de código aberto conhecido como MetInfo, de acordo com novas descobertas do VulnCheck. A vulnerabilidade em questão éCVE-2026-29014(pontuação CVSS: 9,8), uma falha de injeção de código que pode resultar na execução arbitrária de código. “As versões 7.9, 8.0 e 8.1 do MetInfo CMS contêm uma vulnerabilidade de injeção de código PHP não autenticada que permite que invasores remotos executem código arbitrário enviando solicitações criadas com código PHP malicioso”, afirma o NIST National Vulnerability Database (NVD). “Os invasores podem explorar a neutralização de entrada insuficiente no caminho de execução para obter execução remota de código e obter controle total sobre o servidor afetado.” De acordo com o pesquisador de segurança Egidio Romano, que descobriu a vulnerabilidade, o problema está enraizado no script "/app/system/weixin/include/class/weixinreply.class.php" e decorre da falta de higienização adequada da entrada fornecida pelo usuário ao emitir solicitações de API do Weixin (também conhecido como WeChat). Como resultado, invasores remotos e não autenticados poderiam explorar essa brecha para injetar e executar código PHP arbitrário. Um pré-requisito importante para uma exploração bem-sucedida quando o MetInfo está sendo executado em servidores não Windows é que o diretório "/cache/weixin/" deve existir previamente. O diretório é...
Os atores da ameaça estão explorando ativamente uma falha crítica de segurança que afeta um sistema de gerenciamento de conteúdo (CMS) de código aberto conhecido como MetInfo, de acordo com novas descobertas do VulnCheck. A vulnerabilidade em questão éCVE-2026-29014(pontuação CVSS: 9,8), uma falha de injeção de código que pode resultar na execução arbitrária de código. “As versões 7.9, 8.0 e 8.1 do MetInfo CMS contêm uma vulnerabilidade de injeção de código PHP não autenticada que permite que invasores remotos executem código arbitrário enviando solicitações criadas com código PHP malicioso”, afirma o NIST National Vulnerability Database (NVD). “Os invasores podem explorar a neutralização de entrada insuficiente no caminho de execução para obter execução remota de código e obter controle total sobre o servidor afetado.” De acordo com o pesquisador de segurança Egidio Romano, que descobriu a vulnerabilidade, o problema está enraizado no script "/app/system/weixin/include/class/weixinreply.class.php" e decorre da falta de higienização adequada da entrada fornecida pelo usuário ao emitir solicitações de API do Weixin (também conhecido como WeChat). Como resultado, invasores remotos e não autenticados poderiam explorar essa brecha para injetar e executar código PHP arbitrário. Um pré-requisito importante para uma exploração bem-sucedida quando o MetInfo está sendo executado em servidores não Windows é que o diretório "/cache/weixin/" deve existir previamente. O diretório é criado durante a instalação e configuração do plugin oficial do WeChat. Patches para CVE-2026-29014 foram lançados pela MetInfo em 7 de abril de 2026.
Desde então, a vulnerabilidade foi explorada em 25 de abril, com um “pequeno número de explorações” implantadas contra honeypots suscetíveis localizados nos EUA e em Cingapura. Embora estes esforços tenham sido inicialmente esparsos e associados à investigação automatizada, a atividade testemunhou um aumento em 1 de maio de 2026, concentrando-se nos endereços IP da China e de Hong Kong, disse Caitlin Condon, vice-presidente de pesquisa de segurança da VulnCheck. Cerca de 2.000 instâncias do MetInfo CMS estão acessíveis online, a maioria delas na China. Aprenda como impedir ataques do paciente zero antes que eles ignorem a detecção e comprometam seus sistemas nos pontos de entrada. Aprenda como validar caminhos de ataque reais e reduzir riscos exploráveis com validação contínua de segurança de agente. Receba as últimas notícias, insights de especialistas, recursos exclusivos e estratégias de líderes do setor, tudo gratuitamente.