В конце апреля 2026 года исследователи из VulnCheck зафиксировали резкий всплеск атак на сайты, работающие под управлением китайской системы управления контентом MetInfo CMS. Причиной стала критическая уязвимость CVE-2026-29014 (идентификатор в международном каталоге уязвимостей), которая позволяет злоумышленнику удалённо выполнять произвольный код PHP без какой-либо аутентификации. И хотя MetInfo CMS распространена преимущественно в Китае, под ударом могут оказаться и серверы за его пределами. По данным компании VulnCheck, первые попытки эксплуатации были зафиксированы 25 апреля: атаки шли на хосты в США и Сингапуре, но уже 1 мая последовал резкий скачок - IP-адреса из Китая и Гонконга начали массированно атаковать системы в Сингапуре.
Уязвимость CVE-2026-29014
Прежде всего, для атаки не нужен пароль или сессия. Достаточно отправить специально сформированный HTTP-запрос на один из модулей сайта - обработчик, связанный с поддержкой WeChat. В результате вредоносный код записывается в кеш-файл PHP, а затем выполняется сервером. Технически это классический пример неправильной обработки входных данных, известный как внедрение кода (code injection). В уязвимой версии MetInfo CMS (от 7.9.0 до 8.1.0 включительно) функция wxAdminLogin() принимает данные из поля FromUserName, которое полностью контролируется атакующим, и передаёт их в метод put() для кеширования. При этом метод put() создаёт PHP-файл на диске, вставляя полученные данные прямо в строку с двойными кавычками. Из-за того, что в коде закомментирована строка очистки специальных символов, злоумышленник может использовать фигурные скобки PHP для вставки исполняемых выражений, не выходя за пределы строки. Более того, путь к файлу кеша также можно подменить, используя последовательности ../, что позволяет разместить вредоносный скрипт не только в папке кеша, но и в любом другом месте, где он будет выполнен.
Публичный эксплойт (доказательство возможности атаки), опубликованный исследовательской группой Karma(In)Security, показывает, что атака состоит из нескольких этапов. Сначала через параметр adminlogin&../config/tables в теле запроса происходит инъекция PHP-кода в кеш. Вторым запросом с меткой adminlogin&Array создаётся или активируется целевой файл Array.php. После этого команды передаются через HTTP-заголовок с именем C, который сервер читает как $_SERVER[HTTP_C]. Результат выполнения возвращается в теле ответа между маркерами _____. Таким образом, злоумышленник может выполнять любые команды операционной системы: читать файлы, устанавливать программы, создавать новых пользователей.
По оценке экспертов, под угрозой находятся около двух тысяч интернет-серверов, на которых работает уязвимая версия MetInfo CMS. Большинство из них расположено в Китае, однако нельзя исключать, что и в других регионах есть системы с включённым модулем WeChat. Поскольку уязвимость уже активно используется в реальных атаках, каждый такой сервер может быть полностью скомпрометирован. Последствия варьируются от кражи данных до превращения сервера в инструмент для дальнейших вторжений. Исследователи особо подчёркивают: даже если в логах приложения не видно явных признаков взлома, необходимо проверять файлы в каталогах кеша, особенно подозрительные PHP-файлы с вызовами eval() или passthru().
Разработчики MetInfo CMS пока не выпустили официальное исправление, поэтому администраторам следует в первую очередь отключить или ограничить доступ к обработчику WeChat, если он не используется. Если модуль необходим, единственным надёжным способом защиты становится отключение уязвимых версий и мониторинг сетевых запросов к эндпоинту /app/system/entrance.php?n=include&m=module&c=weixin&a=doapi. Любое подозрительное обращение, содержащее строки adminlogin&../config/tables или adminlogin&Array, а также наличие нестандартного заголовка C - прямой сигнал к немедленному реагированию. После подтверждения атаки требуется полная проверка сервера: смена всех паролей, ротация ключей, анализ файловой системы и переустановка операционной системы в случае обнаружения неудаляемого вредоносного ПО.
Описанная ситуация лишний раз напоминает, насколько опасными могут быть уязвимости, позволяющие внедрять код через, казалось бы, безобидные функции кеширования. Даже если продукт малоизвестен за пределами своего региона, его уязвимости способны нанести серьёзный урон, а публичные эксплойты делают атаку доступной для широкого круга злоумышленников. В такой ситуации оперативное обновление, сегментация сети и строгий контроль за веб-трафиком остаются единственными действенными методами защиты.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-29014
- https://github.com/advisories/GHSA-wqc8-9v27-r965
- https://www.linkedin.com/feed/update/urn:li:activity:7457059523007188992/
- https://websec.net/blog/cve-2026-29014-metinfo-cms-unauthenticated-php-code-injection-69cdc290c14a8a99e1f91b7a
- https://www.vulncheck.com/advisories/metinfo-cms-unauthenticated-php-code-injection-rce
