كشفت شركة VulnCheck عن استغلال نشط لثغرة أمنية حرجة في نظام إدارة المحتوى مفتوح المصدر MetInfo CMS، تحمل الرمز CVE-2026-29014، وتُصنّف بدرجة خطورة عالية جدًا (CVSS: 9.8). الثغرة عبارة عن خلل في حقن الشيفرة البرمجية يسمح للمهاجمين بتنفيذ أوامر PHP عشوائية عن بُعد، ما يمنحهم سيطرة كاملة على الخوادم المستهدفة.
تفاصيل الثغرة ومصدرها
الثغرة تؤثر على إصدارات MetInfo 7.9 و8.0 و8.1، وتعود إلى ضعف في معالجة مدخلات المستخدم داخل الملف البرمجي:
/app/system/weixin/include/class/weixinreply.class.php
هذا الملف مرتبط بواجهة برمجية خاصة بخدمة Weixin (WeChat)، حيث لم يتم تطبيق آليات التعقيم الكافية على المدخلات، ما سمح بحقن شيفرة خبيثة وتنفيذها مباشرة على الخادم.
شروط الاستغلال وانتشار الهجمات
وفقًا للباحث الأمني Egidio Romano، فإن أحد الشروط الأساسية لنجاح الاستغلال على الخوادم غير العاملة بنظام ويندوز هو وجود مجلد /cache/weixin/ مسبقًا، وهو مجلد يُنشأ عند تثبيت وتفعيل إضافة WeChat الرسمية. هذا الشرط يجعل الخوادم التي تعتمد على هذه الإضافة أكثر عرضة للهجوم.
التقارير تشير إلى أن الاستغلال بدأ بشكل محدود في 25 أبريل 2026 عبر هجمات آلية على خوادم تجريبية (honeypots) في الولايات المتحدة وسنغافورة، لكنه شهد تصاعدًا ملحوظًا في 1 مايو 2026، مع تركيز الهجمات على عناوين IP في الصين وهونغ كونغ.
حجم التأثير والانتشار
تشير البيانات إلى وجود ما يقارب 2000 نسخة من MetInfo CMS متاحة على الإنترنت، معظمها في الصين، ما يجعل هذه الثغرة ذات تأثير واسع النطاق. ورغم أن الهجمات الأولى كانت محدودة، إلا أن طبيعة الثغرة تسمح للمهاجمين بالتحكم الكامل في الخوادم، بما في ذلك رفع ملفات خبيثة، سرقة بيانات، أو استخدام الخادم كمنصة لهجمات إضافية.
التحديثات الأمنية والتحذيرات
أصدرت شركة MetInfo تحديثًا أمنيًا في 7 أبريل 2026 لمعالجة الثغرة، لكن تأخر المستخدمين في تطبيق التحديثات جعل العديد من الخوادم عرضة للاستغلال. الخبراء يحذرون من أن أي خادم لم يُحدّث بعد معرض لخطر الاختراق الكامل، خاصة في ظل وجود نشاط متزايد لمجموعات تهديد تستغل الثغرة بشكل مباشر.
