Kritische Lücke in MetInfo CMS wird für Codeausführung aus der Ferne ausgenutzt

Zusammenfassung

Im quelloffenen Content-Management-System MetInfo wird derzeit eine kritische Sicherheitslücke aktiv ausgenutzt. Darauf weisen neue Erkenntnisse des Sicherheitsanbieters VulnCheck hin. Die als CVE-2026-29014 geführte Schwachstelle erreicht mit einem CVSS-Wert von 9,8 nahezu die Höchstbewertung und erlaubt die Ausführung beliebigen Codes. Betroffen sind nach Angaben der NIST National Vulnerability Database (NVD) die MetInfo-Versionen 7.9, 8.0 und 8.1. In diesen Versionen lässt sich über speziell präparierte Anfragen mit schädlichem PHP-Code unauthentifiziert PHP-Code einschleusen und ausführen. Angreifer können laut NVD eine unzureichende Bereinigung von Eingaben im Ausführungspfad ausnutzen, um aus der Ferne Code auszuführen und die volle Kontrolle über den betroffenen Server zu erlangen. MetInfo hat am 7. April 2026 Patches für die Lücke veröffentlicht. Seit dem 25. April wird die Schwachstelle aktiv angegriffen, zunächst nur in geringem Umfang. Mit bis zu 2.000 online erreichbaren MetInfo-Installationen, von denen sich die meisten in China befinden, ist die potenzielle Angriffsfläche überschaubar, aber real.

Die Schwachstelle wurde vom Sicherheitsforscher Egidio Romano entdeckt. Ihre Ursache liegt nach seinen Angaben im Skript „/app/system/weixin/include/class/weixinreply.class.php“ und geht auf eine fehlende Bereinigung von Benutzereingaben zurück, wenn Anfragen an die Weixin-API (auch bekannt als WeChat) gestellt werden.

Über diese Lücke können entfernte, nicht authentifizierte Angreifer beliebigen PHP-Code einschleusen und ausführen. Eine Voraussetzung für einen erfolgreichen Angriff auf MetInfo unter Nicht-Windows-Servern ist, dass das Verzeichnis „/cache/weixin/“ bereits vorhanden ist. Dieses Verzeichnis entsteht bei der Installation und Konfiguration des offiziellen WeChat-Plugins.

MetInfo veröffentlichte die Patches für CVE-2026-29014 am 7. April 2026. Seit dem 25. April beobachtet VulnCheck die aktive Ausnutzung: Eine „geringe Zahl von Exploits“ richtete sich zunächst gegen anfällige Honeypots in den USA und in Singapur. Diese Aktivität war anfangs vereinzelt und mit automatisiertem Abtasten verbunden.

Am 1. Mai 2026 stieg die Aktivität deutlich an und konzentrierte sich auf IP-Adressen in China und Hongkong. Das berichtet Caitlin Condon, Vice President of Security Research bei VulnCheck. Den Angaben zufolge sind bis zu 2.000 MetInfo-Installationen online erreichbar, die meisten davon in China.

Kritische Lücke in MetInfo CMS wird für Codeausführung aus der Ferne ausgenutzt

Ähnliche Artikel

Neueste Artikel