A vulnerabilidade CVE-2026-29014 afeta MetInfo CMS 7.9, 8.0 e 8.1 e já foi explorada contra instâncias expostas após a publicação da correção em abril de 2026.
| Componente | MetInfo CMS 7.9, 8.0 e 8.1, com falha no script /app/system/weixin/include/class/weixinreply.class.php relacionado a requisições da API Weixin/WeChat. |
| Vetor | Requisições remotas e não autenticadas contendo código PHP malicioso exploram neutralização insuficiente de entrada no caminho de execução do componente Weixin. |
| Impacto | Execução arbitrária de código PHP no servidor afetado, com possibilidade de controle total do ambiente web comprometido. |
| Prioridade | Aplicar a correção publicada em 7 de abril de 2026, revisar exposição pública do MetInfo CMS e investigar tráfego anômalo a partir de 25 de abril de 2026. |
| Versões | As versões confirmadas como vulneráveis são MetInfo CMS 7.9, 8.0 e 8.1. |
| Artefatos | O caminho /cache/weixin/ é uma pré-condição relevante em servidores não Windows e costuma existir após instalação e configuração do plugin oficial do WeChat. |
| Exploração | A atividade foi observada inicialmente em honeypots nos Estados Unidos e em Singapura e teve aumento em 1º de maio de 2026, com foco em endereços IP da China e de Hong Kong. |
O CVE-2026-29014 é uma vulnerabilidade crítica de injeção de código no MetInfo CMS que permite execução remota de código PHP por atacantes sem autenticação. A falha recebeu pontuação CVSS 9.8 e afeta as versões 7.9, 8.0 e 8.1 do CMS. O problema está associado ao fluxo de integração com Weixin, também conhecido como WeChat, e ocorre quando entradas fornecidas pelo usuário não são neutralizadas de forma adequada antes de serem usadas no caminho de execução do componente. Em um cenário explorável, uma requisição especialmente construída pode levar o servidor a interpretar conteúdo controlado pelo atacante como código PHP, deslocando a falha de validação de entrada para comprometimento direto do processo web.
A correção para CVE-2026-29014 foi disponibilizada em 7 de abril de 2026, mas a exploração foi observada a partir de 25 de abril de 2026 contra instâncias suscetíveis. A primeira atividade conhecida foi limitada, com pequeno volume de tentativas contra honeypots nos Estados Unidos e em Singapura, e tinha características de varredura automatizada. Em 1º de maio de 2026 houve aumento relevante nas tentativas, com maior concentração em endereços IP da China e de Hong Kong. O risco operacional é agravado pela presença de instâncias do MetInfo CMS acessíveis pela internet, estimadas em até 2.000 sistemas, com predominância na China.
A raiz técnica da vulnerabilidade está no script /app/system/weixin/include/class/weixinreply.class.php. Esse componente participa do processamento de requisições vinculadas à API Weixin/WeChat e não neutraliza adequadamente conteúdo controlado pelo usuário em um ponto do fluxo que pode alcançar execução PHP. A falha não depende de credenciais válidas, o que reduz a barreira de exploração: o atacante precisa alcançar a superfície HTTP exposta do CMS e enviar uma requisição formatada para acionar o caminho vulnerável. Quando a entrada maliciosa atravessa a validação insuficiente, o servidor pode executar código arbitrário no contexto do serviço web ou do interpretador PHP configurado para a aplicação.
Em servidores não Windows, existe uma pré-condição importante: o diretório /cache/weixin/ precisa existir antes da exploração bem-sucedida. Esse diretório é criado durante a instalação e configuração do plugin oficial do WeChat, portanto a exposição real depende não apenas da versão do MetInfo CMS, mas também do estado funcional da integração Weixin. Essa condição é relevante para reduzir falsos positivos em inventários e priorizar ambientes que combinam versão vulnerável, plugin configurado e acesso remoto. Mesmo quando a exploração inicial parece automatizada, a consequência técnica permanece grave, pois execução de PHP no servidor pode permitir implantação de web shell, alteração de arquivos da aplicação, coleta de configurações locais, movimentação para bancos de dados acessíveis pela aplicação e uso do servidor como ponto de apoio para novas requisições.
A superfície afetada concentra-se em instalações do MetInfo CMS nas versões 7.9, 8.0 e 8.1 que estejam publicamente acessíveis e tenham o fluxo Weixin/WeChat disponível. Ambientes com o plugin oficial do WeChat instalado e configurado merecem prioridade, especialmente em servidores não Windows onde a presença de /cache/weixin/ satisfaz a pré-condição documentada. A exposição não deve ser avaliada apenas pelo painel administrativo do CMS, porque a falha é acionada por requisições remotas sem autenticação contra componente de integração. Assim, controles de acesso administrativos, senhas fortes e autenticação multifator no painel não compensam, por si só, a vulnerabilidade no caminho público de processamento.
Ambientes que hospedam o CMS junto de outros sites, aplicações PHP ou bancos de dados compartilhados precisam considerar o impacto lateral de execução de código no mesmo servidor. Dependendo da separação de permissões do sistema operacional, o comprometimento pode alcançar arquivos de configuração, credenciais de conexão usadas pela aplicação, diretórios graváveis pelo usuário do processo web e conteúdo publicado. O risco também aumenta quando o servidor permite escrita em diretórios do CMS, execução de scripts carregados em caminhos públicos ou acesso de saída irrestrito para infraestrutura externa.
- Instâncias do MetInfo CMS 7.9, 8.0 e 8.1 expostas à internet.
- Servidores com integração Weixin/WeChat instalada ou configurada.
- Ambientes não Windows onde o diretório
/cache/weixin/existe antes da tentativa de exploração. - Hospedagens compartilhadas ou servidores onde o processo web tem permissão de escrita em diretórios executáveis.
A investigação deve começar pela correlação entre inventário de versões, presença do componente Weixin e tráfego HTTP direcionado ao caminho vulnerável. Em logs de servidor web, procure requisições para /app/system/weixin/include/class/weixinreply.class.php ou para rotas que alcancem esse script, principalmente quando acompanhadas de parâmetros incomuns, caracteres associados a código PHP, volume repetitivo de tentativas ou origem geográfica inesperada para a aplicação. Como a exploração observada começou em 25 de abril de 2026 e aumentou em 1º de maio de 2026, a janela de busca deve cobrir pelo menos o período posterior à publicação da correção em 7 de abril de 2026, incluindo sistemas que foram atualizados tardiamente.
No endpoint e no servidor, a telemetria deve focar alterações em arquivos PHP, criação de arquivos em diretórios graváveis, mudanças inesperadas em /cache/weixin/, processos filhos invocados pelo serviço web e conexões de saída iniciadas logo após requisições suspeitas. Não há hashes, endereços IP ou payloads confirmados no material analisado, portanto a detecção não deve depender de IoCs estáticos. A abordagem mais confiável é combinar sinais comportamentais: requisição não autenticada ao componente vulnerável, resposta anômala do servidor, alteração de arquivo em caminho gravável e execução de comandos ou scripts fora do padrão operacional do CMS.
- Acessos HTTP a
/app/system/weixin/include/class/weixinreply.class.phpvindos de origens não esperadas. - Criação ou modificação de arquivos PHP após requisições ao fluxo Weixin/WeChat.
- Alterações inesperadas no diretório
/cache/weixin/em servidores não Windows. - Processos iniciados pelo usuário do servidor web que não fazem parte da operação normal do CMS.
- Conexões de saída originadas pelo servidor web após erros, respostas incomuns ou tentativas repetidas no componente vulnerável.
A resposta deve priorizar atualização imediata do MetInfo CMS para uma versão corrigida, considerando que a correção foi publicada em 7 de abril de 2026 e a falha já teve exploração observada. Antes de tratar a atualização como suficiente, valide se a instância executava as versões 7.9, 8.0 ou 8.1, se a integração Weixin/WeChat estava habilitada e se /cache/weixin/ existia no servidor. Em sistemas expostos durante a janela de exploração, execute revisão de integridade do diretório da aplicação, compare arquivos PHP com uma cópia limpa da mesma versão, verifique permissões de escrita e procure artefatos adicionados em diretórios públicos ou de cache.
Quando houver indício de exploração, a contenção deve incluir isolamento temporário do servidor, preservação de logs, coleta de arquivos alterados e rotação de segredos usados pelo CMS, como credenciais de banco de dados ou chaves armazenadas em arquivos de configuração. Remover apenas arquivos suspeitos sem entender o ponto de entrada pode deixar persistência ativa ou permitir reinfecção. Após a atualização, reduza a superfície de ataque restringindo acesso a componentes que não precisam ser públicos, revisando a necessidade do plugin WeChat, limitando execução em diretórios de cache e aplicando regras de monitoramento para requisições anômalas ao fluxo Weixin.
- Atualizar o MetInfo CMS afetado para a versão corrigida pelo fornecedor.
- Confirmar se as versões 7.9, 8.0 ou 8.1 estiveram expostas após 7 de abril de 2026.
- Investigar logs a partir de 25 de abril de 2026, com atenção especial ao aumento observado em 1º de maio de 2026.
- Verificar integridade de arquivos PHP, diretórios de cache e permissões de escrita do processo web.
- Rotacionar credenciais da aplicação se houver suspeita de execução de código ou alteração não autorizada de arquivos.
- Desabilitar ou restringir o fluxo Weixin/WeChat quando ele não for necessário para a operação.
0 Comentários