CVE-2026-29014

Nome do Software Vulnerável e Versões Afetadas MetInfo CMS versões 7.9 a 8.1

Description Uma falha de injeção de código PHP não autenticada permite que atacantes remotos executem código arbitrário e obtenham controle total do servidor afetado ao enviar requisições manipuladas contendo código PHP malicioso. Este problema decorre de uma neutralização insuficiente de entrada no caminho de execução, especificamente no arquivo /app/system/weixin/include/class/weixinreply.class.php durante o processamento de requisições da API Weixin (WeChat). A exploração requer que o servidor não seja Windows e que o diretório /cache/weixin/ exista, o que ocorre quando o plugin oficial do WeChat está instalado e configurado. A exploração no mundo real foi observada, com um aumento significativo na atividade a partir de 1 de maio de 2026, visando principalmente aproximadamente 2.000 instâncias online na China e Hong Kong, bem como honeypots nos EUA e Singapura. Atacantes utilizaram esta falha para escalar privilégios e se mover lateralmente pelas redes.

Recommendations Atualize o MetInfo CMS versões 7.9, 8.0 e 8.1 para as versões corrigidas lançadas em 7 de abril de 2026. Como medida paliativa temporária, restrinja o acesso ao arquivo /app/system/weixin/include/class/weixinreply.class.php ou desative o plugin oficial do WeChat para remover o diretório /cache/weixin/.