استغلال نشط لثغرة CVE-2026-29014 لتنفيذ أكواد عن بعد فـ MetInfo CMS

TL;DR — ثغرة حرجة ديال code injection بلا ما تحتاج لمصادقة (CVE-2026-29014، بـ CVSS 9.8) فـ النسخ 7.9 و 8.0 و 8.1 ديال MetInfo CMS كتعرض دابا لاستغلال نشط. فاعلو التهديد (threat actors) بداو كيجربو فـ honeypots نهار 25 أبريل 2026، والنشاط ديال الاستغلال ارتفع بزاف وتوجه لـ الشينوا وهونغ كونغ نهار 1 ماي. الترقيعات (patches) خرجات فـ 7 أبريل؛ خاص الترقيع فورا لأي سيستم خدام بـ MetInfo.

شنو واقع

نهار 7 أبريل 2026، MetInfo خرجات ترقيعات (patches) أمنية لـ CVE-2026-29014، لي هي ثغرة ديال PHP code injection فـ معالج الطلبات (request handler) ديال Weixin (WeChat) API. الباحث الأمني (security researcher) Egidio Romano اكتشف هاد الخلل فـ السكريبت /app/system/weixin/include/class/weixinreply.class.php، فين ضعف تصفية الإدخالات (input sanitization) كيخلي المهاجمين عن بعد يصيفطو طلبات ملغومة فيها كود PHP خبيث.

هاد الثغرة ما كتحتاجش للمصادقة (authentication). فـ السيرفورات لي ماشي Windows، الاستغلال كيعتمد حتى على تواجد الدوسي /cache/weixin/ من قبل — وهو دوسي كيتكرا ملي ليزاردمين (administrators) كينسطاليو ويأكتيفيو البلاجين (plugin) الرسمي ديال WeChat.

شركة VulnCheck بدات كترصد محاولات الاستغلال نهار 25 أبريل 2026، ولاحظت داكشي لي وصفاتو بـ "عدد قليل من عمليات الاستغلال" تدارت ضد honeypots فـ ميريكان وسنغافورة. هاد المحاولات اللولة كانت قليلة ومرتبطة بالفحص الآلي. ولكن، نهار 1 ماي 2026، نشاط الاستغلال زاد بزاف، والمهاجمين بدلو التركيز ديالهم لـ أهداف فـ الشينوا وهونغ كونغ، على حساب Caitlin Condon، نائبة رئيس الأبحاث الأمنية فـ VulnCheck.

كاين تقريبا 2,000 نسخة ديال MetInfo CMS باينة فـ الأنترنيت، والأغلبية ديالها كاينة فـ الشينوا.

علاش هادشي مهم

ثغرة CVE-2026-29014 كتعطي لـ المهاجمين (attackers) لي بلا مصادقة إمكانية تنفيذ كود PHP عشوائي وياخدو تحكم كامل فـ السيرفور المخترق. المهاجم (attacker) لي كيوصل لـ نسخة MetInfo ما مرقعاش يقدر يقرا ملفات حساسة، يبدل المحتوى ديال السيت، ينزّل أبواب خلفية (backdoors)، ولا يتحرك لجهة أخرى فـ الشبكة.

تحول نشاط الاستغلال من فحص آلي قليل لـ honeypots لـ موجة مركزة كتستهدف الشينوا وهونغ كونغ نهار 1 ماي كيعني بلي فاعلو التهديد (threat actors) دازو من مرحلة الاستطلاع (reconnaissance) لـ النشر المستهدف. هاد التحول الجغرافي كيبين إما نشاط منظم ولا تنسيق بين بزاف ديال المجموعات لي مركزين على ديك المنطقة.

بالنسبة للمدافعين لي مسيرين أنظمة MetInfo فـ منطقة الشرق الأوسط وشمال إفريقيا (MENA) ولا فـ العالم، المدة ديال 18 يوم بين خروج الترقيع (7 أبريل) والاستغلال المكثف (1 ماي) كتبين شحال بالزربة الثغرات كتدوز من الإعلان للمرحلة ديال الاستغلال الفعلي (weaponization). المؤسسات لي خدامة بـ MetInfo خاصها تفترض بلي المهاجمين كيسكانيو دابا على النسخ لي مازال ما ترقعاتش.

الأنظمة المتضررة و CVEs

• MetInfo CMS 7.9 — CVE-2026-29014
• MetInfo CMS 8.0 — CVE-2026-29014
• MetInfo CMS 8.1 — CVE-2026-29014

CVE-2026-29014: Code injection فـ معالج (handler) Weixin API، بـ CVSS 9.8

شنو خاص يدار

• طبقو الترقيعات (patches) الأمنية لي خرجاتها MetInfo نهار 7 أبريل 2026 فورا على كاع النسخ المتضررة.
• يلا كانت الوظيفة ديال البلاجين WeChat ما مطلوباش، فكرو باش تحيدو ولا ديزاكتيفيو الربط مع Weixin باش تحيدو المساحة ديال الهجوم (attack surface).
• قابلو السجلات (logs) ديال السيرفور وأنماط الدخول لـ POST requests لي غادية لـ نقط النهاية ديال /app/system/weixin/، خصوصا لي فيها كود PHP ولا حمولة (payload) مشفرة.
• فـ السيرفورات لي ماشي Windows، تأكدو من الملكية (ownership) والصلاحيات ديال الدوسي /cache/weixin/؛ وحصرو صلاحية الكتابة (write access) لـ البروسيس ديال الويب سيرفور.
• ديرو جرد (inventory) شامل لكاع النسخ ديال MetInfo CMS فـ البنية التحتية ديالكم وتأكدو من الحالة ديال الترقيع (patch status).

أسئلة باقة مطروحة

• الإشعار الأمني ما كيوضحش واش الترقيعات كتغطي كاع الطرق ديال هجمات code injection ولا غير المسار ديال Weixin API لي اكتشفو Romano.
• نسبة تبني الترقيعات من طرف المستعملين ديال MetInfo مازال ما معروفاش دابا.
• الهوية والدوافع ديال فاعلي التهديد (threat actors) لي دارو هاد الاستغلال ما تذكراتش.
• ما واضحش واش الاستغلال فات المرحلة ديال الفحص الآلي لـ honeypots ووصل لاختراق أنظمة إنتاج فعلية (production systems).
• الإشعار ما كيوضحش واش وقعات أنشطة استغلال برا ديال الشينوا وهونغ كونغ مورا 1 ماي 2026.
• ما زال ما معروفش واش السيرفورات ديال Windows تقدر تتعرض لطرق استغلال أخرى ما كتحتاجش للدوسي /cache/weixin/.

المصدر

MetInfo CMS CVE-2026-29014 Exploited for Remote Code Execution Attacks