CVE-2026-29014 في MetInfo CMS: حقن PHP عن بُعد يهدد بنوك SAMA

رصدت VulnCheck وThe Hacker News في الخامس من مايو 2026 موجة استغلال نشط لثغرة CVE-2026-29014 في نظام إدارة المحتوى MetInfo، وهي ثغرة حقن شيفرة PHP غير مصادقة بدرجة CVSS 9.8 (حرجة). الثغرة تتيح للمهاجم البعيد تنفيذ أوامر عشوائية على الخادم دون أي بيانات اعتماد، عبر استغلال وحدة تكامل WeChat. وبينما تتركز معظم التطبيقات المصابة في الصين وهونغ كونغ، فإن الدرس التنظيمي الذي يحمله هذا الحدث يطرق أبواب المؤسسات المالية السعودية الخاضعة لإطار SAMA CSCC مباشرة.

تشريح ثغرة CVE-2026-29014: حقن شيفرة PHP عبر وحدة WeChat

الثغرة موجودة في الإصدارات MetInfo CMS 7.9.0 إلى 8.1.0 وتتمركز في معالج طلبات WeChat على المسار /app/system/entrance.php?n=include&m=module&c=weixin&a=doapi. يكمن الخلل في أن المدخلات التي يتحكم بها المهاجم تُكتب إلى ملف ذاكرة تخزين مؤقت بصيغة PHP ثم يتم تضمينها وتنفيذها لاحقاً، مما ينتج عنه تنفيذ شيفرة عشوائية في سياق عملية خادم الويب. الشرط الوحيد للاستغلال على خوادم لينكس هو وجود مجلد /cache/weixin/ الذي يُنشأ تلقائياً عند تثبيت إضافة WeChat الرسمية. أصدرت MetInfo التصحيحات في 7 أبريل 2026، لكن قراءة بيانات Honeypots كشفت موجة استغلال أولى في 25 أبريل، تلتها قفزة حادة في الأول من مايو 2026 طالت عناوين IP في الولايات المتحدة وسنغافورة والصين.

لماذا تُصنَّف هذه الفئة من الثغرات الأخطر على بيئة الإنتاج؟

ثغرات حقن شيفرة PHP غير المصادقة تجمع أربعة عوامل تجعلها كابوس مدير الأمن: لا تتطلب اعتماداً مسبقاً، ولا تتطلب تفاعل مستخدم، ويمكن استغلالها بسطر cURL واحد، وغالباً ما تترك وراءها webshell دائماً يتجاوز التسجيل القياسي. في الحالات التي حلّلتها VulnCheck، استخدم المهاجمون الوصول الأولي لرفع backdoors من فئة China Chopper وتفعيل cron jobs لاستنزاف بيانات قواعد البيانات. هذا النمط يطابق تماماً سلسلة القتل التي وثّقها MITRE ATT&CK تحت تكتيكات Initial Access (T1190) وExecution (T1059.004) وPersistence (T1505.003).

التأثير على المؤسسات المالية السعودية ومتطلبات SAMA CSCC

قد لا تستخدم البنوك السعودية MetInfo CMS مباشرة، لكن السطح الحقيقي للمخاطر يقع على ثلاث طبقات: المواقع التسويقية والإعلامية المرتبطة بالبنك، والبوابات التابعة للأطراف الثالثة من شركاء التسويق، والمواقع الفرعية لشركات تابعة. ضابط SAMA CSCC رقم 3.3.14 (Application Security) يلزم المؤسسات بإجراء فحوص أمنية لكل تطبيقات الويب الواقعة ضمن نطاقها، فيما يفرض ضابط 3.3.10 (Third Party Cyber Security) تقييم المخاطر السيبرانية للموردين بشكل دوري. وفقاً للمادة 14 من نظام حماية البيانات الشخصية PDPL، يُعد أي تسريب لبيانات شخصية ناتج عن إهمال أمني خرقاً يستوجب الإفصاح خلال 72 ساعة لهيئة البيانات الوطنية. هنا تكمن الخطورة: webshell زرعت عبر CMS مهملة قد تتيح حركة جانبية إلى شبكة المؤسسة الأم.

التوصيات والخطوات العملية لفرق الأمن في القطاع المالي السعودي

1. جرد سطح الهجوم: استخدم Shodan أو Censys مع استعلام http.html:"powered by metinfo" لاكتشاف أي تثبيتات MetInfo مكشوفة تعود لمؤسستك أو موردين تابعين، ووثّق النتائج في سجل CMDB.
2. التصحيح الفوري: الترقية إلى MetInfo 8.1.1 أو أحدث، أو إيقاف الموقع إذا تعذّر الترقيع. لا تكتفِ بحذف وحدة WeChat لأن مسارات وصول بديلة قد تظل مفتوحة.
3. صيد التهديدات Hunt: فتّش سجلات خادم الويب عن طلبات POST تحتوي weixin&a=doapi أو إلى الملفات داخل /cache/weixin/، وارفع التحقق إلى مرحلة Forensics إذا وُجدت.
4. تقوية WAF: أضف قواعد ModSecurity أو AWS WAF تحظر الطلبات إلى entrance.php الحاوية على وسائط weixin أو doapi، وفعّل وضع IPS وليس مجرد اكتشاف.
5. عزل الشبكة: طبّق مبدأ Zero Trust بين منطقة DMZ التي تستضيف خوادم الويب العامة والشبكة الداخلية، وراقب أي اتصال خارج المعتاد إلى عناوين IP خبيثة معروفة.
6. تقييم الأطراف الثالثة: أرسل استبيان أمني عاجل لجميع وكالات التسويق والشركاء الذين يستضيفون محتوى نيابة عن البنك، واطلب إثباتاً موثقاً بحالة التصحيح.
7. تحديث Threat Intelligence: اشترك في تغذية CISA KEV ومصادر مثل VulnCheck، ودمج مؤشرات الاختراق IoCs مع منصة SIEM/XDR للكشف الاستباقي.

الخلاصة

ثغرة CVE-2026-29014 ليست مجرد خبر تقني بعيد، بل اختبار حقيقي لجاهزية برامج إدارة الأصول والاستجابة للحوادث في كل مؤسسة مالية تخضع لـ SAMA CSCC وNCA ECC. التطبيقات المنسية في الواجهة العامة تظل أكثر نقاط الدخول رواجاً للمهاجمين، وتجاهل CMS قديمة تشغّل صفحة هبوط واحدة قد يكون كافياً لإطلاق سلسلة اختراق تنتهي بسرقة بيانات عملاء أو هجوم فدية على بيئة الإنتاج. الحوكمة السيبرانية الناضجة لا تتسامح مع الزوايا المهملة.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، يشمل اكتشاف أصول الويب المكشوفة وتحليل الفجوات في إدارة مخاطر الأطراف الثالثة.