MetInfo CMS の重大な脆弱性CVE-2026-29014がリモートコード実行攻撃に悪用中

概要

オープンソースのコンテンツ管理システム「MetInfo CMS」の脆弱性CVE-2026-29014（深刻度スコア9.8）が、実際の攻撃に悪用されている。MetInfo CMS 7.9、8.0、8.1バージョンにおいて、WeChat API処理部分の入力値検証不足により、認証なしでPHPコードの注入・実行が可能。攻撃者は細工されたリクエストを送信して任意のコードを実行し、サーバー完全制御まで奪取される危険性がある。4月25日から攻撃が確認され、5月1日から中国・香港のIP範囲での攻撃が急増。オンライン上には約2000のMetInfo CMS インスタンスが存在し、大多数が中国に所在。MetInfoは4月7日にパッチをリリース済み。即座のアップデート適用が必須。

元記事（The Hacker News）