metinfo cms'te kritik açık, aktif sömürülüyor

arkadaşlar, metinfo diye bir açık kaynaklı cms var, duymuşsunuzdur belki. işte orada kritik bir açık keşfedilmiş ve aktif olarak sömürülüyor. vulncheck’in araştırmacıları tespit etmiş durumu.

CVE-2026-29014 numaralı bu zafiyet cvss skoru 9.8 almış, yani kritik kategorisinde. code injection açığı var sistemde, yani uzaktan kod çalıştırma (rce) yapılabiliyor. daha da kötüsü, kimlik doğrulama gerektirmiyor bu açık. yani herhangi biri gelip sömürebilir.

etkilenen versiyonlar

metinfo cms’in şu versiyonları etkileniyor:

• 7.9
• 8.0
• 8.1

spoiler: eğer bu versiyonlardan birini kullanıyorsanız, hemen harekete geçin.

zafiyet detayları

php kod enjeksiyonu açığı var. saldırganlar kimlik doğrulaması yapmadan sisteme zararlı php kodu enjekte edebiliyorlar. sonuç olarak da sunucuda istedikleri kodu çalıştırabiliyorlar. klasik rce senaryosu yani.

cvss 9.8 alması boşuna değil:

• 🔴 kimlik doğrulama gerektirmiyor (authentication: none)
• 🔴 ağ üzerinden sömürülebilir (network attack vector)
• 🔴 düşük karmaşıklık (low complexity)
• 🔴 tam sistem kontrolü (high impact)

ne yapmalısınız

1. versiyon kontrolü

önce metinfo cms kullanıp kullanmadığınızı ve versiyonunu kontrol edin:

# metinfo dizinine gidin ve versiyon dosyasını kontrol edin
cd /var/www/html/metinfo
cat config/version.php

2. güncelleme

metinfo’nun resmi sitesinden en güncel versiyonu indirin ve güncelleyin. 8.1’den sonraki ilk yamalı versiyonu yükleyin.

# önce mutlaka yedek alın
tar -czf metinfo_backup_$(date +%Y%m%d).tar.gz /var/www/html/metinfo

# güncellemeyi yapın
# resmi siteden son versiyonu indirip kurulum talimatlarını izleyin

dikkat: yedek almadan bu işe girişmeyin arkadaşlar. sonra “veri gitti” diye ağlamayın.

3. log kontrolü

sisteminizde sömürü girişimi olup olmadığını kontrol edin:

# web server loglarını tarayın
grep -i "metinfo" /var/log/apache2/access.log | grep -E "(POST|GET)"
grep -i "php" /var/log/apache2/access.log | grep -i "eval\|system\|exec"

# nginx kullanıyorsanız
grep -i "metinfo" /var/log/nginx/access.log | grep -E "(POST|GET)"

şüpheli aktivite görürseniz, sisteminiz muhtemelen sömürülmüş. incident response prosedürünü başlatın.

geçici çözüm (hemen güncelleyemeyenler için)

eğer hemen güncelleme yapamıyorsanız:

waf kuralı ekleyin

# modsecurity kullanıyorsanız şu kuralı ekleyin
SecRule REQUEST_URI "@contains /admin/" \
    "id:1001,phase:2,deny,status:403,\
    msg:'MetInfo CVE-2026-29014 Protection'"

SecRule REQUEST_BODY "@rx (?i)(eval|system|exec|passthru|shell_exec)" \
    "id:1002,phase:2,deny,status:403,\
    msg:'Potential PHP Code Injection'"

ağ seviyesinde kısıtlama

# sadece bilinen ip'lerden admin paneline erişim verin
# iptables ile
iptables -A INPUT -p tcp --dport 80 -s GUVENLI_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP

# veya nginx config'de
location /admin/ {
    allow GUVENLI_IP;
    deny all;
}

servisi geçici kapatın

eğer kritik değilse ve hemen yamalayamıyorsanız, servisi geçici olarak kapatmayı düşünün:

systemctl stop apache2
# veya
systemctl stop nginx

etkilenen sistemler

tehdit seviyesi

bu CVE-2026-29014 açığı aktif olarak sömürülüyor. yani saldırganlar zaten bu açığı kullanıyor, beklemiyor. önceliğiniz şu olmalı:

1. 🔴 acil: metinfo kullanıyorsanız hemen yamalayın
2. 🟠 yüksek: logları kontrol edin, sömürü olup olmadığına bakın
3. 🟡 orta: geçici çözümleri uygulayın (hemen yamalayamıyorsanız)

kaynaklar

• The Hacker News - Orijinal Haber
• CVE-2026-29014 - CVSS 9.8
• VulnCheck Araştırması

edit: metinfo çok yaygın kullanılan bir cms değil ama özellikle çin’de popüler. eğer kullanıyorsanız, bu açık gerçekten ciddi. kimlik doğrulaması gerektirmeden rce yapılabiliyor, daha ne olsun.

agalar, bu tür açık kaynaklı cms’leri kullanıyorsanız mutlaka güvenlik güncellemelerini takip edin. wordpress, drupal, joomla ne kullanıyorsanız, update’leri kaçırmayın. bu tür açıklar çıkınca saldırganlar hemen otomatik tarama yapıyor, günler içinde binlerce site tehlikeye girebiliyor.

Bu içerik yapay zeka tarafından oluşturulmuştur.