MetInfo CMS: exploit RCE attivi per CVE-2026-29014
Attori della minaccia sfruttano CVE-2026-29014, RCE non autenticata in MetInfo CMS. Il picco del 1° maggio 2026 ha colpito IP di Cina e Hong Kong.
Contenuto
Attori della minaccia stanno sfruttando attivamente CVE-2026-29014, una vulnerabilità di PHP code injection non autenticata che colpisce MetInfo CMS nelle versioni 7.9, 8.0 e 8.1. L'attività malevola, rilevata in modo sporadico a partire dal 25 aprile 2026, ha registrato un'impennata significativa il 1° maggio 2026 con un focus geografico concentrato su indirizzi IP di Cina e Hong Kong. Il punteggio CVSS è di 9,8 e la compromissione può avvenire senza autenticazione, a patto che il sito target abbia attivato il plugin WeChat.
- CVE-2026-29014 consente esecuzione remota di codice PHP non autenticata su MetInfo CMS 7.9, 8.0 e 8.1 sfruttando il componente API WeChat (weixinreply.class.php).
- Il difetto deriva dalla mancata sanitizzazione dell'input utente nelle richieste verso lo script
/app/system/weixin/include/class/weixinreply.class.php. - Dalle prime sonde su honeypot in USA e Singapore (25 aprile), l'attività è cresciuta esponenzialmente il 1° maggio 2026 puntando su IP di Cina e Hong Kong.
- Su server non-Windows l'exploit richiede la presenza pregressa della directory
/cache/weixin/, creata solo dall'installazione del plugin WeChat ufficiale.
Come funziona l'attacco al plugin WeChat
La vulnerabilità CVE-2026-29014 ha il suo centro gravitazionale nel file /app/system/weixin/include/class/weixinreply.class.php, uno script che gestisce le risposte automatiche alle API del plugin sociale WeChat integrato in MetInfo. Qui, l'assenza di una corretta neutralizzazione degli input permette a un attaccante remoto di iniettare codice PHP arbitrario senza doversi autenticare al backend del sito.
Il vettore d'attacco si concretizza attraverso richieste HTTP craftate che sfruttano il flusso di elaborazione delle risposte Weixin. Quando il server processa la richiesta malevola, il codice iniettato viene eseguito nel contesto dell'applicazione web, aprendo la strada a una compromissione totale del sistema. La gravità è confermata dal punteggio CVSS di 9,8, che riflette impatto massimo su confidenzialità, integrità e disponibilità con bassa complessità d'attacco.
Su piattaforme non-Windows, l'exploit richiede una condizione pregressa: la presenza della directory /cache/weixin/, che viene generata unicamente dall'installazione del plugin WeChat ufficiale. Questo dettaglio tecnico vincola l'efficacia dell'attacco alle istanze che effettivamente ospitano il componente sociale attivo, riducendo teoricamente il bersaglio ma alzando il pericolo per chi lo utilizza. Non è chiaro dalle fonti disponibili se il prerequisito valga anche per le installazioni su server Windows o se su queste ultime il vettore segua un percorso alternativo.
"MetInfo CMS versions 7.9, 8.0, and 8.1 contain an unauthenticated PHP code injection vulnerability that allows remote attackers to execute arbitrary code by sending crafted requests with malicious PHP code" — NIST National Vulnerability Database (NVD), riportato da The Hacker News
Dal sondaggio honeypot all'exploitation mirata
Le prime tracce di exploitation in the wild risalgono al 25 aprile 2026, quando sensori distribuiti negli Stati Uniti e a Singapore hanno registrato tentativi di sfruttamento contro honeypot esposti appositamente. Questa fase iniziale presentava un profilo sporadico, compatibile con attività di ricognizione automatizzata o con test preliminari da parte di opportunisti che validavano la presenza del vettore su larga scala.
La svolta cronologica è avvenuta il 1° maggio 2026. Secondo i dati raccolti da VulnCheck, in quella data l'attività malevola ha mostrato un'impennata quantitativa e qualitativa, con un numero significativo di richieste malevole indirizzate verso IP geolocalizzati in Cina e Hong Kong. Il cambio di ritmo suggerisce un passaggio dal mero sondaggio a una fase di exploitation più mirata o almeno geograficamente concentrata, sebbene non sia possibile stabilire se gli attori coinvolti siano gruppi strutturati, APT o semplici threat opportunisti.
Va sottolineato che le fonti attuali documentano solo attacchi rilevati tramite honeypot: non esistono al momento conferme pubbliche che siti web produttivi o infrastrutture reali siano stati compromessi. Il focus su Cina e Hong Kong potrebbe riflettere la distribuzione naturale delle circa 2.000 istanze esposte di MetInfo — prevalentemente concentrate nel territorio cinese — oppure indicare un interesse specifico per l'ecosistema digitale cinese, dove WeChat rappresenta un'infrastruttura sociale e commerciale di primaria importanza.
Chi è esposto oltre il mercato cinese
Le stime indicano che circa 2.000 installazioni di MetInfo CMS siano attualmente esposte su Internet. La maggior parte di esse risiede in Cina, ma il CMS è utilizzato anche al di fuori dei confini nazionali da aziende che operano con clientela cinese o che gestiscono presenze web multilingua. Questo significa che il rischio non è geograficamente circoscritto: la condizione determinante non è la localizzazione del server, ma la presenza del plugin WeChat e, su sistemi non-Windows, della directory /cache/weixin/.
Se un'organizzazione europea, nordamericana o del Sud-Est asiatico utilizza MetInfo con il modulo sociale attivo, la sua superficie d'attacco è identica a quella di un host situato a Pechino o Hong Kong. La geografia dell'attacco, quindi, non deve generare falsa sicurezza tra gli amministratori che gestiscono istanze apparentemente lontane dal focus cinese.
Il problema si colloca in una fascia di rischio spesso trascurata: i CMS di nicchia con plugin verticali. Mentre la comunità security monitora costantemente le piattaforme mainstream, soluzioni come MetInfo — che servono mercati specifici — possono ospitare vulnerabilità critiche che restano sotto i radar fino al passaggio in exploitation attiva. Il caso CVE-2026-29014 ne è l'emblema, dimostrando come un componente sociale apparentemente secondario possa diventare il punto di ingresso per la compromissione totale di un server.
Cosa fare adesso
La patch ufficiale rilasciata da MetInfo il 7 aprile 2026 corregge il difetto nel file weixinreply.class.php. Gli amministratori che non l'hanno ancora applicata devono considerare l'aggiornamento come priorità assoluta, dato che l'exploitation attiva è documentata e in crescita. Di seguito le azioni prioritarie.
- Aggiornare immediatamente MetInfo CMS alle versioni corrette rilasciate dopo il 7 aprile 2026, verificando che la patch sostituisca integralmente il file vulnerabile nel percorso
/app/system/weixin/include/class/. - Rimuovere il plugin se inutilizzato. Se il modulo WeChat non è necessario al business, disinstallarlo completamente riduce la superficie d'attacco ed elimina il vettore noto senza dipendere dalla tempestività delle future patch.
- Ispezionare la cache su server non-Windows. Su piattaforme Linux o Unix, controllare la directory
/cache/weixin/per rilevare file con timestamp anomali, estensioni PHP non previste o payload sospetti. Eventuali file non generati dall'applicazione legittima sono indicatore di possibile compromissione. - Monitorare i log e filtrare a livello WAF. Esaminare i log del server web alla ricerca di richieste POST o GET non autorizzate dirette a
weixinreply.class.phpche contengano sequenze sospette di codice PHP. Se disponibile, configurare una regola WAF per bloccare l'iniezione nel parametro vulnerabile fino al completamento della manutenzione.
Il passaggio da sondaggi sporadici su honeypot a un picco di exploitation con focus geografico dimostra che CVE-2026-29014 è uscita dalla fase teorica per diventare un vettore operativo concreto. Per i gestori di infrastrutture web, il caso ribadisce un principio spesso dimenticato: i plugin sociali verticali, specie quando legati a ecosistemi chiusi come WeChat, vanno trattati con la stessa attenzione riservata al core del CMS. La velocità di patch non conta se chi difende il perimetro non sa cosa stia effettivamente servendo.
Domande frequenti
La vulnerabilità colpisce tutte le installazioni MetInfo o solo quelle con il plugin WeChat?
Il vettore d'attacco risiede nello script /app/system/weixin/include/class/weixinreply.class.php, componente del plugin WeChat. Se il plugin non è installato o è stato rimosso, la falla non è sfruttabile attraverso questo percorso noto.
Perché l'attacco è concentrato su IP di Cina e Hong Kong?
Le fonti riportano che il picco del 1° maggio 2026 abbia coinvolto prevalentemente indirizzi IP geolocalizzati in Cina e Hong Kong, ma non forniscono una motivazione esplicita. Il fenomeno potrebbe essere legato alla distribuzione delle istanze esposte o a un interesse specifico per il mercato digitale cinese.
La patch del 7 aprile 2026 è sufficiente a mitigare il rischio?
L'aggiornamento rilasciato da MetInfo il 7 aprile 2026 risolve la vulnerabilità documentata. L'applicazione tempestiva della patch, abbinata alla verifica della rimozione di eventuali backdoor precedentemente installate, rappresenta la contromisura principale contro il vettore noto.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/05/metinfo-cms-cve-2026-29014-exploited.html
- https://news.fyself.com/metinfo-cms-cve-2026-29014-can-be-exploited-for-remote-code-execution-attacks/
- https://thomasharris6.wordpress.com/2026/05/05/metinfo-cms-cve-2026-29014-exploited-for-remote-code-execution-attacks/
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.