Das Open-Source-CMS MetInfo steht im Visier von Cyberkriminellen. Die Sicherheitsforscher von VulnCheck haben dokumentiert, dass eine kritische Schwachstelle seit Ende April 2026 aktiv ausgenutzt wird. Der Fehler befindet sich in der Datei “/app/system/weixin/include/class/weixinreply.class.php” und resultiert aus unzureichender Validierung von Benutzereingaben bei WeChat-API-Anfragen.
Die technische Analyse zeigt: Angreifer können speziell präparierte Anfragen senden, um PHP-Code zu injizieren und auszuführen. Ein Voraussetzung für erfolgreiche Exploits auf Linux-Systemen ist die Existenz des Verzeichnisses “/cache/weixin/”, das normalerweise während der Installation des WeChat-Plugins erstellt wird. Windows-Systeme sind von diesem speziellen Angriffsvektor nicht betroffen.
Zeitstrahl der Bedrohung: MetInfo veröffentlichte Patches am 7. April 2026. Erste Exploits wurden am 25. April dokumentiert — zunächst mit geringer Aktivität gegen Honeypots in den USA und Singapur. Ein massiver Anstieg der Angriffe folgte am 1. Mai 2026, diesmal mit geografischem Fokus auf China und Hongkong. Laut Caitlin Condon, VP of Security Research bei VulnCheck, sind aktuell etwa 2.000 MetInfo-Instanzen im Internet erreichbar, die Mehrheit davon in China.
Für deutsche Administratoren wichtig: Die Sicherheitsforschung unter Leitung von Egidio Romano zeigt, dass die Lücke grundlegend designbedingt ist. Ein einfaches Update ist daher notwendig. Unternehmen, die MetInfo betreiben und Nutzerdaten verarbeiten, müssen handeln: Das BSI empfiehlt regelmäßige Vulnerability-Scans und sofortige Patches. Wer betroffen sein könnte, sollte Logs auf verdächtige Zugriffe auf das weixin-Modul prüfen.
Die Erkenntnis, dass hauptsächlich asiatische IP-Adressen für die aktuellen Angriffe verantwortlich sind, bedeutet nicht, dass europäische Systeme sicher sind. Exploit-Code wird üblicherweise schnell verbreitet und automatisiert eingesetzt. Für KMUs und Behörden gilt: Ein Audit der eigenen MetInfo-Installation sollte oberste Priorität haben.