威脅行為者已分別開始利用 MetInfo 和 Weaver E-cology 中的兩個嚴重漏洞，這些漏洞允許他們在無需身份驗證的情況下遠端執行任意程式碼。MetInfo 是一款基於 PHP 和 MySQL 的企業內容管理系統 (CMS)，提供各種 SEO 最佳化功能。

該漏洞被追蹤為 CVE-2026-29014（CVSS 評分為 9.8），於 4 月初披露，MetInfo 中這個現已被利用的嚴重漏洞被描述為未經身份驗證的 PHP 程式碼注入問題。之所以會出現這個問題，是因為執行路徑未能充分消除使用者提供的輸入，從而允許攻擊者發送包含 PHP 程式碼的精心建構的請求，實現遠端程式碼執行 (RCE)，並接管易受攻擊的伺服器。

週一，VulnCheck發出警告，威脅行為者上週開始利用該CVE漏洞。最初攻擊範圍有限，可能與自動化探測有關，但在周末期間攻擊激增，主要集中在新加坡的部署。據 VulnCheck 稱，互聯網上大約有 2,000 個 MetInfo CMS 實例可存取，主要位於中國。

Weaver E-cology 主要在中國使用，它是一款辦公室自動化和協作解決方案，可讓組織管理入口網站、工作流程、知識、專案、客戶、資產、通訊等等。此漏洞被追蹤為 CVE-2026-22679（CVSS 評分為 9.3），其存在原因是可以透過精心建構的 POST 請求呼叫暴露的調試功能來執行任意命令。

Vega報告稱，針對未經身份驗證的遠端程式碼執行漏洞的修補程式於 3 月 12 日發布，不到一周後就發現了首次利用嘗試。作為觀察活動的一部分，攻擊者透過 ping 回呼探測漏洞，然後嘗試投放各種有效載荷。最終，攻擊者利用暴露的調試端點作為 shell 執行了發現命令。

Vega指出：「操作員根本不需要持久化的shell：調試端點就是shell，它遵循嚴格的請求/響應語義。這也是為什麼有效載荷的傳遞和發現可以同時進行的原因：兩者都是發送到同一端點的不同POST請求體。」

資料來源：https://www.securityweek.com/metinfo-weaver-e-cology-vulnerabilities-in-attackers-crosshairs/