Защита стала декорацией, пока хакеры присваивают чужое имущество.
0day-уязвимость в китайской CMS MetInfo начала активно использоваться в атаках спустя считанные дни после обнаружения. За последнюю неделю специалисты VulnCheck зафиксировали серию первых попыток эксплуатации CVE-2026-29014 — опасной ошибки, позволяющей удалённо внедрять PHP-код без авторизации. Волна активности быстро переросла из единичных инцидентов в масштабное автоматизированное сканирование.
По данным VulnCheck, первые атаки на уязвимые серверы появились 25 апреля. Тогда злоумышленники проверяли ограниченное число систем в США и Сингапуре. Анализ трафика показал типичную схему автоматических атак — сначала поиск доступных экземпляров MetInfo CMS, затем попытка внедрения вредоносного кода.
До начала мая активность оставалась нерегулярной, однако 1 мая специалисты заметили резкий всплеск эксплуатации. Основной удар пришёлся на сингапурские узлы сети VulnCheck Canary. Источниками атак стали IP-адреса, связанные с Китаем и Гонконгом.
MetInfo CMS относится к популярным в Китае системам управления контентом с открытым исходным кодом. По оценке VulnCheck, в интернете доступны около двух тысяч экземпляров платформы, причём большинство расположено именно в КНР. Массовый характер сканирования указывает на попытки быстро выявить максимальное число уязвимых серверов до выхода обновлений и распространения защитных мер.
CVE-2026-29014 позволяет внедрять PHP-код без прохождения аутентификации, что делает проблему особенно опасной. При успешной эксплуатации злоумышленники могут получить полный контроль над сайтом и использовать сервер для дальнейших атак.
VulnCheck добавила сведения об активности вокруг уязвимости в собственный каталог KEV, где собираются данные о случаях эксплуатации критических ошибок в реальных атаках.