CVE-2026-29014 — 神龙十问 AI 深度分析摘要

🚨 **本质**：未经验证的 **PHP代码注入**。 💥 **后果**：攻击者可发送特制请求，执行 **任意代码**，直接 **完全控制** 服务器。

🔍 **CWE**：CWE-94（代码注入）。 🐛 **缺陷**：执行路径中 **输入中和不足**，导致恶意PHP代码未被过滤直接执行。

📦 **产品**：MetInfo CMS（米拓内容管理系统）。 📅 **版本**：7.9、8.0、8.1 版本均受影响。

👑 **权限**：远程攻击者获得 **高权限**。 📂 **数据**：可读取/篡改所有数据，甚至控制整个服务器环境。

🚪 **认证**：**无需认证** (PR:N)。 🌐 **网络**：网络可达即可 (AV:N)。 🎯 **难度**：**低** (AC:L)，无需用户交互 (UI:N)。

🧪 **PoC**：有现成 Nuclei 模板 (projectdiscovery)。 🌍 **在野**：参考链接提及 Karmain Security 技术描述，暗示 **利用可行性高**。

🔎 **扫描**：使用 Nuclei 模板 `CVE-2026-29014.yaml` 快速检测。 📝 **特征**：针对 MetInfo 特定执行路径发送包含 **恶意PHP代码** 的请求。

🛡️ **补丁**：数据未提供官方具体补丁链接，仅指向官网 metinfo.cn。 ⚠️ **建议**：立即联系厂商或检查官方更新日志。

🚧 **临时规避**：若无补丁，需 **严格过滤输入**。 🚫 **限制**：在 Web 前端或 WAF 层拦截包含 **PHP标签** 或 **注入特征** 的请求。

🔥 **优先级**：**极高** (CVSS 9.8)。 ⚡ **行动**：立即 **下线** 受影响版本或 **紧急修复**，防止服务器被接管。