Ya no hacen falta contraseñas: hallan en un CMS popular una vulnerabilidad para secuestrar sitios web en masa
La seguridad resultó meramente decorativa mientras los hackers se apropiaban de bienes ajenos.
La vulnerabilidad 0day en la CMS china MetInfo comenzó a utilizarse activamente en ataques pocos días después de su descubrimiento. En la última semana, especialistas de VulnCheck registraron una serie de primeros intentos de explotación de CVE-2026-29014, un fallo peligroso que permite inyectar código PHP de forma remota sin autenticación. La ola de actividad pasó rápidamente de incidentes aislados a un escaneo automatizado a gran escala.
Según VulnCheck, los primeros ataques contra servidores vulnerables aparecieron el 25 de abril. Entonces los atacantes verificaban un número limitado de sistemas en EE. UU. y Singapur. El análisis del tráfico mostró el patrón típico de ataques automatizados: primero la búsqueda de instancias accesibles de MetInfo CMS, luego el intento de inyectar código malicioso.
Hasta principios de mayo la actividad se mantuvo irregular; sin embargo, el 1 de mayo los especialistas observaron un fuerte repunte de la explotación. El golpe principal afectó a los nodos en Singapur de la red VulnCheck Canary. Los orígenes de los ataques fueron direcciones IP relacionadas con China y Hong Kong.
La CMS MetInfo es una plataforma de gestión de contenidos de código abierto popular en China. Según la estimación de VulnCheck, hay alrededor de dos mil instancias de la plataforma accesibles en Internet, y la mayoría están ubicadas en la RPC. El carácter masivo del escaneo indica intentos de identificar rápidamente el mayor número posible de servidores vulnerables antes de la publicación de parches y la adopción de medidas de protección.
CVE-2026-29014 permite inyectar código PHP sin autenticación, lo que hace la vulnerabilidad especialmente peligrosa. En caso de explotación exitosa, los atacantes pueden obtener el control total del sitio y usar el servidor para ataques adicionales.
VulnCheck añadió información sobre la actividad relacionada con la vulnerabilidad a su propio catálogo KEV, donde se recopilan datos sobre casos de explotación de errores críticos en ataques reales.