Angreifer nehmen kritische Lücken in MetInfo und Weaver E-cology ins Visier

Zusammenfassung

Angreifer nutzen unabhängig voneinander zwei als kritisch eingestufte Schwachstellen in den chinesischen Anwendungen MetInfo und Weaver E-cology aus. Beide Lücken erlauben es, ohne Authentifizierung und aus der Ferne beliebigen Code auf verwundbaren Servern auszuführen. MetInfo ist ein auf PHP und MySQL basierendes Content-Management-System für Unternehmen mit Funktionen zur Suchmaschinenoptimierung. Die betreffende Lücke wird als CVE-2026-29014 geführt, erreicht einen CVSS-Wert von 9.8 und wurde Anfang April offengelegt; es handelt sich um eine nicht authentifizierte PHP-Code-Injection. Weaver E-cology ist eine Lösung zur Büroautomatisierung und Zusammenarbeit, über die Organisationen unter anderem Portale, Arbeitsabläufe, Projekte und Anlagen verwalten. Die dort ausgenutzte Schwachstelle trägt die Kennung CVE-2026-22679 mit einem CVSS-Wert von 9.3. Laut VulnCheck begann die Ausnutzung der MetInfo-Lücke in der vergangenen Woche und nahm am Wochenende deutlich zu, mit Schwerpunkt auf Installationen in Singapur. Für die Weaver-Lücke berichtet Vega über erste Angriffsversuche kurz nach Veröffentlichung der Patches. Beide Produkte werden überwiegend in China eingesetzt.

Die Schwachstelle in MetInfo entsteht, weil der Ausführungspfad von Nutzern übermittelte Eingaben unzureichend bereinigt. Angreifer können dadurch präparierte Anfragen mit eingebettetem PHP-Code senden, eine Codeausführung aus der Ferne (RCE) erzielen und verwundbare Server übernehmen. MetInfo setzt auf PHP und MySQL und ist als Content-Management-System für Unternehmen ausgelegt.

VulnCheck warnte am Montag, dass Bedrohungsakteure CVE-2026-29014 seit der vergangenen Woche ausnutzen. Anfangs blieb die Aktivität begrenzt und stand vermutlich im Zusammenhang mit automatisiertem Abtasten, am Wochenende stieg sie jedoch sprunghaft an und richtete sich verstärkt gegen Installationen in Singapur. Nach Angaben von VulnCheck sind rund 2.000 MetInfo-Instanzen aus dem Internet erreichbar, die meisten davon in China.

Bei Weaver E-cology handelt es sich um eine Lösung für Büroautomatisierung und Zusammenarbeit, mit der sich Portale, Arbeitsabläufe, Wissensbestände, Projekte, Kunden, Anlagen und Kommunikation verwalten lassen. Die ausgenutzte Lücke CVE-2026-22679 entsteht, weil eine offen zugängliche Debug-Funktion über präparierte POST-Anfragen aufgerufen werden kann, um beliebige Befehle auszuführen.

Die Patches für diese nicht authentifizierte RCE-Schwäche erschienen am 12. März; die ersten Ausnutzungsversuche wurden laut Vega weniger als eine Woche später beobachtet. Dabei prüften die Angreifer die Schwachstelle zunächst über Ping-Rückrufe, versuchten anschließend, verschiedene Schadlasten einzuspielen, und führten schließlich Erkundungsbefehle aus, wobei sie den offenen Debug-Endpunkt als Shell nutzten.

„Der Betreiber brauchte zu keinem Zeitpunkt eine dauerhafte Shell: Der Debug-Endpunkt ist die Shell, mit strikter Anfrage-Antwort-Logik. Genau deshalb konnten das Einspielen der Schadlast und die Erkundung gleichzeitig ablaufen: Beides sind unterschiedliche POST-Inhalte an denselben Endpunkt", erläutert Vega.

Angreifer nehmen kritische Lücken in MetInfo und Weaver E-cology ins Visier

Ähnliche Artikel

Neueste Artikel