中國內容管理系統MetInfo存在重大漏洞,已出現積極利用的攻擊活動
漏洞詳情
CVE-2026-29014為一個程式碼注入漏洞,遠端攻擊者可在未經授權的情況下發送帶有PHP程式碼的特製請求,從而在MetInfo平臺執行任意程式碼。此漏洞讓攻擊者能夠在不需登入的情況下,對系統進行惡意操作。
攻擊活動趨勢
根據威脅情報公司觀察,MetInfo在上個月發布新版本修補該漏洞後,攻擊活動數週內開始出現,並於5月初顯著增加,顯示攻擊者已積極利用此漏洞進行實際攻擊。
相關系統與版本資訊
- MetInfo v5.0.3:已解決多項重大安全漏洞,建議用戶立即升級以確保安全。
- MetInfo v7.7:存在安全漏洞,其Administrator List允許攻擊者透過特製請求獲取伺服器控制權。
- MetInfo 7.9:最新更新包含管理員支援微信掃碼登入、修復百度地圖定位與會員郵箱註冊問題。
安全建議
由於新曝光的漏洞通常會引發大規模利用,建議所有使用MetInfo系統的用戶,儘快升級至最新穩定版本,並加強伺服器安全設定,以降低被攻擊風險。