世界の技術ニュースをリアルタイムでキャッチし、日本語でわかりやすく発信。AI・半導体・スタートアップから規制動向まで、グローバルテックシーンの「今」をお届けします。

MetInfo CMSの脆弱性「CVE-2026-29014」が実戦で悪用中――RCEにつながる危険な穴

記事のキーポイント

オープンソースCMS「MetInfo」に、CVE-2026-29014という重大な脆弱性が見つかった
この欠陥は未認証のPHPコードインジェクションで、条件がそろうとRemote Code Execution（RCE）、つまりサーバーを遠隔操作される危険がある
MetInfoは2026年4月7日に修正パッチを公開したが、その後4月25日ごろから悪用が確認された
VulnCheckによると、米国やシンガポールのhoneypot（おとり用の監視サーバー）に対して攻撃が観測された
5月1日には攻撃が増加し、中国・香港のIPアドレスを狙う動きが目立った
インターネット上で公開されているMetInfo CMSは最大約2,000件あるとされ、その多くが中国にある

ざっくり何が起きているのか

今回の話を一言でいうと、Webサイトを動かすCMSに「サーバーを勝手に乗っ取られる」クラスの穴が見つかり、しかも修正後すぐ現実の攻撃で使われ始めた、ということです。

MetInfoはオープンソースのCMSです。CMSは、専門知識がなくてもWebサイトを作ったり更新したりしやすくする仕組みで、WordPressの仲間みたいなものだと思うとわかりやすいです。便利な反面、広く使われるほど攻撃者の標的にもなりやすい。ここは毎回のように出てくる、いやらしい現実です。

今回の脆弱性はCVE-2026-29014。CVSSスコアは9.8で、かなり危険度が高い部類です。
しかもポイントは、認証なしで悪用できること。つまり、ログインできなくても攻撃できる可能性がある、というのが怖いところです。

脆弱性の中身をもう少しやさしく言うと

NVD（NISTの脆弱性データベース）による説明では、MetInfo CMSの7.9、8.0、8.1に、unauthenticated PHP code injection vulnerability があるとされています。

これをかみ砕くと、

PHP code injection
攻撃者が、プログラムに「不正なPHPコード」を紛れ込ませること
unauthenticated
ログイン不要、つまり本人確認なしで狙えること
remote code execution（RCE）
攻撃者が遠隔からサーバー上で好きなコードを動かせること

という意味です。

ここで怖いのは、RCEが成立すると、単なるページ改ざんでは済まない場合があることです。サーバー内のファイルを読まれたり、マルウェアを置かれたり、他のシステムへの足がかりにされたりする可能性があります。
個人的には、「Webサイトの不具合」より一段重い、インフラ事故寄りの話だと思っています。

どこが悪かったのか

脆弱性を発見した研究者 Egidio Romano によると、問題は

/app/system/weixin/include/class/weixinreply.class.php

にあり、Weixin（WeChat）APIリクエストを送る際に、ユーザー入力のサニタイズが不十分だったことが原因だそうです。

サニタイズというのは、ざっくり言うと入力された文字列から危険なものを無害化する処理です。
たとえば、攻撃コードっぽい文字列が入ってきても、そのまま実行されないようにする“防波堤”のようなものです。

今回はその防波堤が弱く、細工されたリクエストを送ることで任意のPHPコードを実行できる状態だったわけです。これはかなり素直に危ないです。変な言い方ですが、攻撃者にとっては「親切すぎる入口」になっていたとも言えます。

どんな条件だと悪用しやすいのか

記事によると、MetInfoがWindows以外のサーバーで動いている場合、成功のための前提条件として、/cache/weixin/ ディレクトリが事前に存在している必要があるそうです。

このディレクトリは、公式WeChatプラグインをインストール・設定したときに作られるとのこと。
つまり、WeChat連携を使っている環境では、攻撃の条件が整いやすい可能性があります。

とはいえ、こういう「条件が必要な脆弱性」でも油断は禁物です。実運用環境では、プラグインの導入やキャッシュ用ディレクトリの存在など、攻撃に必要な材料が意外と揃ってしまうことがあるからです。現場あるあるですが、こういう“ちょっとした前提”が本番では一番厄介だったりします。

いつから悪用されているのか

MetInfo側は2026年4月7日に修正パッチを出しました。
ただし、VulnCheckによると、この脆弱性は4月25日ごろから実際に悪用され始めたとされています。

最初は、

件数が少ない
自動化された探索っぽい挙動

だったものの、5月1日には攻撃が増加。狙いは中国と香港のIPアドレスに向いていたそうです。

ここで面白いのは、というか不気味なのは、パッチが出てから攻撃が本格化するまでがかなり早いことです。
「修正されたからひとまず安心」ではなく、修正された瞬間から、未更新のサーバーが一斉に狙われるのが今の現実です。セキュリティ担当者にとっては、パッチ公開はゴールではなく、むしろ“本当の忙しさの始まり”だと思います。

どれくらい広く使われているのか

VulnCheckのCaitlin Condon氏によると、インターネット上でアクセス可能なMetInfo CMSは最大約2,000件あるとのことです。しかも、その多くは中国にあるようです。

2,000という数字は、超巨大サービスから見れば小さく感じるかもしれません。ですが、攻撃者の目線では話が別です。
「狙えるサーバーが2,000台ある」というのは、十分にうれしい獲物です。特に、RCEのような強力な脆弱性なら、スキャンして片っ端から当てにいく価値があります。

このニュースの重要ポイント

この件で一番大事なのは、単に「また脆弱性が見つかった」ではなく、すでに悪用が始まっていることです。

脆弱性は見つかるだけならまだ間に合うこともあります。
でも、実際に攻撃に使われているとなると、状況は一気に変わります。未更新のまま公開しているサーバーは、かなり危ない段階に入っていると考えたほうがいいでしょう。

個人的には、この手のニュースを見るたびに思うのですが、CMSは便利さの裏で“更新をサボった瞬間に危険度が跳ね上がる”世界です。Web担当者や運用担当者からすると面倒でも、パッチ適用を後回しにしない運用がやっぱり命綱だと思います。

利用者・運用者は何を意識すべきか

もしMetInfo CMSを使っているなら、まず確認したいのは次のあたりです。

7.9 / 8.0 / 8.1 を使っていないか
2026年4月7日以降の修正版に更新済みか
WeChatプラグインを利用しているか
/cache/weixin/ 周辺に不審なファイルがないか
Webサーバーのアクセスログに怪しいリクエストがないか

また、すでに公開環境で動いているなら、パッチ適用だけでなく、不審な改ざんや侵入の痕跡確認も大事です。RCE系は「更新したから終わり」では済まないことがあります。攻撃後に何を置かれたかまで確認しないと、後からじわじわ効いてくる場合があるからです。

まとめ

MetInfo CMSのCVE-2026-29014は、未認証でPHPコードを注入できる重大な脆弱性で、条件が揃うとRCEに直結します。
しかも、パッチ公開後すぐに実戦で悪用され、すでに攻撃の動きが観測されています。

Webサイト運用では、こういう“CMSの穴”が本当に怖いです。
見た目はただの管理画面でも、裏側ではサーバーそのものが狙われている。今回の件は、その事実をあらためて突きつけるニュースだと思います。

参考: MetInfo CMS CVE-2026-29014 Exploited for Remote Code Execution Attacks

同じ著者の記事

Gemini API File Searchがマルチモーダル対応に。RAGをもっと実用的にするGoogleの新アップデート

Googleが、Gemini APIのFile Searchツールを大きくアップデートしました。今回のポイントは、ざっくり言うと「テキストだけでなく画像もまとめて検索できるようになった」こと、そして「検索の根拠をページ単位で示しやすくなった」ことです。これ、地味に見えてかなり重要です。RAG（検索拡張生成）を実際にアプリへ入れようとすると、「欲しい情報がうまく見つからない」「どの資料のどこを根拠に答えたのか説明しにくい」といった壁にぶつかりがちなんですよね。Googleはそこを、かなり実務寄りに改善してきた印象です。 File Searchがmultimodal対応 テキストだけでなく、画像も一緒に扱えるようになった custom metadataに対応 ファイルに `department: Legal` のようなラベルを付けて、整理・絞り込みしやすくなる page-level citationsを追加 どのページを根拠に答えたかを示しやすくなり、透明性が上がる RAGをより「実用」寄りに改善 プロトタイプだけでなく、業務アプリ