Lỗ hổng nghiêm trọng trên MetInfo và Weaver E-cology nằm trong tầm ngắm của tin tặc

Các tác nhân đe dọa mạng (threat actors) đang tích cực khai thác hai lỗ hổng mức độ nghiêm trọng (critical) riêng biệt trên MetInfo và Weaver E-cology. Đặc điểm đáng lo ngại nhất của cả hai lỗi này là cho phép kẻ tấn công thực thi mã tùy ý từ xa mà không cần đăng nhập tài khoản.

Cơ sở dữ liệu lỗ hổng bảo mật

Lỗ hổng trên MetInfo CMS

MetInfo là một hệ thống quản lý nội dung doanh nghiệp (CMS) dựa trên PHP và MySQL, nổi bật với các khả năng tối ưu hóa SEO. Lỗi bảo mật đang bị khai thác được theo dõi dưới mã định danh CVE-2026-29014 với điểm CVSS là 9.8/10.

Vấn đề này được mô tả là lỗi tiêm mã PHP không cần xác thực. Nguyên nhân nằm ở việc đường dẫn thực thi không trung hòa hóa đầu vào của người dùng một cách đầy đủ. Điều này cho phép tin tặc gửi các yêu cầu được tạo đặc biệt chứa mã PHP, đạt được khả năng thực thi mã từ xa (RCE) và chiếm quyền kiểm soát máy chủ.

Công ty an ninh mạng VulnCheck đã cảnh báo rằng các cuộc tấn công nhắm vào CVE này bắt đầu từ tuần trước. Ban đầu, hoạt động khai thác có giới hạn và có khả năng liên quan đến việc quét tự động, nhưng đã gia tăng mạnh vào cuối tuần, tập trung vào các hệ thống tại Singapore. Theo ước tính, có khoảng 2.000 phiên bản MetInfo CMS có thể truy cập từ internet, chủ yếu nằm tại Trung Quốc.

Nguy cơ từ Weaver E-cology

Weaver E-cology là giải pháp tự động hóa văn phòng và cộng tác, cũng chủ yếu được sử dụng tại Trung Quốc, giúp các tổ chức quản lý cổng thông tin, quy trình công việc, dự án và tài sản.

Lỗi bị khai thác, được gán mã CVE-2026-22679 (điểm CVSS 9.3), tồn tại do chức năng gỡ lỗi (debug) bị lộ có thể được gọi thông qua các yêu cầu POST được tạo đặc biệt để thực thi các lệnh tùy ý.

Các bản vá cho lỗi RCE không cần xác thực này đã được phát hành vào ngày 12 tháng 3. Tuy nhiên, theo báo cáo từ Vega, các nỗ lực khai thác đầu tiên đã được quan sát thấy chưa đầy một tuần sau đó.

Trong các hoạt động được quan sát, kẻ tấn công đã dò tìm lỗ hổng thông qua các ping callback, sau đó cố gắng gửi các payload độc hại. Cuối cùng, chúng thực hiện các lệnh phát hiện, sử dụng điểm cuối gỡ lỗi bị lộ như một vỏ shell (shell).

"Người vận hành không bao giờ cần một vỏ shell liên tục: điểm cuối gỡ lỗi chính là vỏ shell, với ngữ nghĩa yêu cầu/phản hồi nghiêm ngặt. Đây cũng là lý do việc chuyển tải payload và phát hiện có thể xảy ra đồng thời: cả hai đều là nội dung POST khác nhau gửi đến cùng một điểm cuối," Vega nhận định.

Khuyến nghị

Do tính chất nghiêm trọng và việc đã có dấu hiệu khai thác thực tế trong tự nhiên (in-the-wild), các tổ chức đang sử dụng MetInfo hoặc Weaver E-cology được khuyến cáo áp dụng các bản vá bảo mật mới nhất ngay lập tức để ngăn chặn nguy cơ bị xâm nhập.