Lunedi 06 Luglio 2026 08:16:44 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

MetInfo CMS sotto assedio: gli hacker sfruttano una falla di iniezione di codice per prendere il controllo completo del server

Pubblicato: 05 Maggio 2026 15:01Categoria: Vulnerabilities & Patch ManagementArea: AsiaAutore: KERNELWATCHER

Sottotitolo: I siti MetInfo CMS non patchati affrontano un’ondata di attacchi di esecuzione di codice da remoto mentre i cybercriminali sfruttano una vulnerabilità critica.

Nel mondo oscuro del cybercrimine, le vulnerabilità possono trasformare software affidabili in bombe a orologeria digitali. L’ultimo bersaglio: MetInfo, un popolare sistema di gestione dei contenuti open-source, ora sotto attacco attivo dopo che gli hacker hanno scoperto una falla critica che consente loro di impadronirsi dei server senza nemmeno una richiesta di password. Man mano che l’exploit si diffonde, migliaia di siti web-molti in Cina-rischiano di diventare pedine in un’offensiva informatica globale.

Dati rapidi

  • Una vulnerabilità critica di MetInfo CMS (CVE-2026-29014) consente l’esecuzione di codice da remoto senza autenticazione.
  • La falla riguarda le versioni 7.9, 8.0 e 8.1, con attacchi osservati dalla fine di aprile 2026.
  • L’attività di sfruttamento è aumentata il 1° maggio, concentrandosi su indirizzi IP cinesi e di Hong Kong.
  • Almeno 2.000 istanze di MetInfo CMS sono esposte online, per lo più localizzate in Cina.
  • Gli attacchi riusciti garantiscono agli attori della minaccia il controllo completo dei server colpiti.

Dentro l’exploit: come gli hacker hanno violato MetInfo CMS

La vulnerabilità-catalogata come CVE-2026-29014 e con un punteggio quasi massimo di 9,8 sulla scala di gravità CVSS-deriva da una svista fatale nel modo in cui MetInfo gestisce l’input per l’interfaccia del plugin Weixin (WeChat). Il ricercatore di sicurezza Egidio Romano ha ricondotto la falla a una mancanza di sanitizzazione dell’input nello script /app/system/weixin/include/class/weixinreply.class.php. Inviando richieste appositamente costruite, gli attaccanti possono iniettare codice PHP malevolo, inducendo il server a eseguirlo come se fosse software legittimo.

È importante notare che questo attacco non richiede alcuna interazione dell’utente né autenticazione-basta un MetInfo CMS accessibile e non patchato e, su alcuni sistemi, una directory /cache/weixin/ preesistente (creata quando viene installato il plugin ufficiale di WeChat). Una volta dentro, gli attori della minaccia ottengono le chiavi del regno: la capacità di eseguire qualsiasi codice desiderino, rubare dati, deturpare i siti o spostarsi più in profondità negli ambienti di rete.

Secondo VulnCheck, lo sfruttamento iniziale è iniziato con sonde automatizzate che prendevano di mira honeypot negli Stati Uniti e a Singapore. Ma la vera attività è partita all’inizio di maggio, con un marcato picco di attacchi provenienti da indirizzi IP cinesi e di Hong Kong. Con circa 2.000 installazioni MetInfo esposte a internet-per lo più in Cina-il rischio è tutt’altro che ipotetico.

Il 7 aprile MetInfo ha rilasciato una patch per chiudere la falla, ma come la storia insegna, l’adozione delle patch può rimanere pericolosamente indietro. I sistemi non patchati restano bersagli facili, maturi per la compromissione mentre i criminali corrono per superare i difensori.

Conseguenze e prospettive

La saga di MetInfo è un duro promemoria del fatto che, nella corsa agli armamenti digitale, una singola falla non patchata può diventare un varco per cybercriminali in tutto il mondo. Mentre gli attaccanti continuano a scandagliare la rete alla ricerca di sistemi vulnerabili, gli operatori dei siti web sono invitati ad applicare immediatamente le patch o rischiare di diventare la prossima vittima in un panorama di minacce sempre più sofisticato. Nel frattempo, l’exploit di MetInfo funge sia da monito sia da grido di mobilitazione per una migliore igiene della sicurezza e una risposta più rapida in tutto l’ecosistema software.

WIKICROOK

  • Esecuzione di codice da remoto (RCE): L’esecuzione di codice da remoto (RCE) si verifica quando un attaccante esegue il proprio codice sul sistema della vittima, spesso portando al controllo completo o alla compromissione di quel sistema.
  • Iniezione di codice: L’iniezione di codice è un attacco in cui gli hacker inseriscono codice malevolo in un programma, consentendo loro di controllare o compromettere il sistema preso di mira.
  • CVSS (Common Vulnerability Scoring System): Il CVSS è un sistema standard per valutare la gravità delle vulnerabilità di sicurezza, assegnando punteggi da 0 (basso) a 10 (critico) per guidare le priorità di risposta.
  • Sanitizzazione dell’input: La sanitizzazione dell’input consiste nel filtrare i dati dell’utente per bloccare contenuti malevoli o indesiderati, proteggendo software e database dalle minacce alla sicurezza.
  • Honeypot: Un honeypot è un sistema fittizio predisposto per attirare i cyberattaccanti, consentendo alle organizzazioni di studiare i metodi di attacco senza mettere in pericolo risorse reali.