CVE-2026-29014

Nome do Software Vulnerável e Versões Afetadas MetInfo CMS versões 7.9 a 8.1

Descrição Uma falha de injeção de código PHP não autenticada existe devido à neutralização insuficiente de entrada no caminho de execução, especificamente na função wxAdminLogin() e no arquivo /app/system/weixin/include/class/weixinreply.class.php. Este problema afeta o processamento de requisições da API do Weixin (WeChat). Atacantes remotos podem executar código arbitrário e obter controle total do servidor afetado enviando requisições manipuladas contendo código PHP malicioso. A exploração é possível em servidores não Windows onde o diretório /cache/weixin/ existe, o que ocorre quando o plugin oficial do WeChat está instalado e configurado. A exploração no mundo real foi observada, com um aumento significativo na atividade a partir de 1 de maio de 2026, visando principalmente aproximadamente 2.000 instâncias online na China e Hong Kong, bem como alguns honeypots nos EUA e Singapura.

Recomendações Atualize o MetInfo CMS versões 7.9, 8.0 e 8.1 para as versões corrigidas lançadas em 7 de abril de 2026. Como medida paliativa temporária, restrinja o acesso ao componente da API do WeChat ou ao arquivo /app/system/weixin/include/class/weixinreply.class.php para minimizar o risco de exploração.