CVE-2026-29014: Detectada Vulnerabilidad Crítica (CVSS 9.8)

⟫ 02/04/2026 ⟫ NVD/NIST

Fuente: NVD NIST

**Nueva Vulnerabilidad Crítica en MetInfo CMS: CVE-2026-29014**

En el panorama actual de la ciberseguridad, la detección de vulnerabilidades críticas es un evento que despierta gran preocupación en el ámbito tecnológico. Recientemente, se ha identificado la vulnerabilidad CVE-2026-29014, que cuenta con una alarmante puntuación de 9.8 sobre 10 en el sistema de puntuación de vulnerabilidades comunes (CVSS). Esta situación representa un riesgo considerable para los sistemas que utilizan MetInfo CMS, afectando a miles de usuarios y organizaciones que dependen de este software para gestionar sus contenidos digitales. La urgencia de adoptar medidas correctivas es imperativa, ya que la explotación de esta vulnerabilidad podría conducir a un compromiso total de los servidores afectados.

Desde un punto de vista técnico, la vulnerabilidad en cuestión se manifiesta en las versiones 7.9, 8.0 y 8.1 de MetInfo CMS, donde se ha descubierto una inyección de código PHP no autenticada. Este tipo de vulnerabilidad permite a atacantes remotos ejecutar código arbitrario simplemente enviando solicitudes diseñadas con código PHP malicioso. La raíz del problema radica en la insuficiente neutralización de entrada en la ruta de ejecución del software, lo que abre la puerta a la ejecución remota de código y, por ende, a la toma de control completo del servidor afectado.

La vulnerabilidad está clasificada bajo CWE-94, que identifica específicamente debilidades relacionadas con la ejecución de código arbitrario. Esto subraya la gravedad de la situación, ya que estas debilidades son frecuentemente aprovechadas en ataques para ejecutar instrucciones no autorizadas en sistemas vulnerables.

El vector de ataque asociado a esta vulnerabilidad es de tipo NETWORK, lo que significa que los atacantes pueden llevar a cabo sus acciones de forma remota a través de la red. Además, se califica con una complejidad de ataque baja, lo que indica que incluso un atacante con habilidades limitadas puede explotar dicha vulnerabilidad. Es crucial señalar que no se requieren privilegios previos para llevar a cabo el ataque, ni es necesaria la interacción del usuario, lo que aumenta significativamente el riesgo asociado a esta vulnerabilidad.

La puntuación CVSS de 9.8 clasifica esta vulnerabilidad como crítica dentro de la escala, que abarca desde 0 hasta 10. Aquellas vulnerabilidades que superan un umbral de 9.0 son consideradas de alto riesgo, ya que suelen permitir la ejecución remota de código, la escalada de privilegios o incluso el compromiso total del sistema afectado. Esto implica que las organizaciones que operan utilizando MetInfo CMS deben actuar con inmediatez para mitigar el impacto de este hallazgo.

Para aquellas entidades afectadas, es fundamental que revisen los parches de seguridad disponibles. Las actualizaciones y recomendaciones técnicas pueden ser consultadas en las siguientes referencias: https://karmainsecurity.com/KIS-2026-06, https://www.metinfo.cn/ y https://www.vulncheck.com/advisories/metinfo-cms-unauthenticated-php-code-injection-rce.

Se insta a todas las organizaciones que utilizan las versiones afectadas de MetInfo CMS a que apliquen los parches de seguridad de forma inmediata. Además, es recomendable realizar una revisión exhaustiva de los sistemas en busca de indicadores de compromiso y monitorear el tráfico de red para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad. En el contexto de una creciente amenaza cibernética, la proactividad en la gestión de vulnerabilidades se convierte en una necesidad vital para salvaguardar la integridad y la seguridad de los datos y sistemas informáticos.

◢ VULNERABILIDADES ◣

CVE-2026-29014: Vulnerabilidad Crítica Detectada (CVSS 9.8)

⟫ 02/04/2026 ⟫ NVD/NIST

Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-29014, que cuenta con una puntuación CVSS de 9.8/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: MetInfo CMS versions 7.9, 8.0, and 8.1 contain an unauthenticated PHP code injection vulnerability that allows remote attackers to execute arbitrary code by sending crafted requests with malicious PHP code. Attackers can exploit insufficient input neutralization in the execution path to achieve remote code execution and gain full control over the affected server. La vulnerabilidad está clasificada como CWE-94, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque LOW. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 9.8, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://karmainsecurity.com/KIS-2026-06 https://www.metinfo.cn/ https://www.vulncheck.com/advisories/metinfo-cms-unauthenticated-php-code-injection-rce Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

← VOLVER A CIBERSEGURIDAD