Cve-2026-29014

Uma grave vulnerabilidade de segurança foi identificada no sistema de gerenciamento de conteúdo (CMS) de código aberto MetInfo, afetando as versões 7.9, 8.0 e 8.1. Classificada como CVE-2026-29014, essa falha de injeção de código PHP permite que atacantes remotos não autenticados executem código arbitrário ao enviar requisições maliciosas. O problema reside no script ‘weixinreply.class.php’, que não sanitiza adequadamente a entrada do usuário durante as requisições à API do Weixin (WeChat). Para que a exploração seja bem-sucedida, é necessário que o diretório ‘/cache/weixin/’ exista, o que ocorre durante a instalação do plugin oficial do WeChat. Desde a liberação de patches em 7 de abril de 2026, a vulnerabilidade começou a ser explorada ativamente a partir de 25 de abril, com um aumento significativo de tentativas de ataque focadas em endereços IP na China e em Hong Kong. Estima-se que cerca de 2.000 instâncias do MetInfo CMS estejam acessíveis online, a maioria delas na China, o que eleva o risco de comprometimento de dados e controle de servidores.