Plattform
python
Komponente
pymetasploit3
Behoben in
1.0.7
1.0.7
A critical Command Injection vulnerability has been identified in pymetasploit3, a Python library used for Metasploit framework automation, affecting versions up to 1.0.6. This flaw allows attackers to inject arbitrary commands by manipulating module options, such as RHOSTS, within the Metasploit console. Successful exploitation could lead to unauthorized command execution and compromise Metasploit sessions, potentially granting attackers significant control over the system.
CVE-2026-5463 in pymetasploit3 (versions up to 1.0.6) stellt ein erhebliches Risiko dar, da eine Command Injection-Schwachstelle in der Funktion console.runmodulewith_output() vorliegt. Dies ermöglicht einem Angreifer, Zeilenumbrüche in Moduloptionen, wie z.B. RHOSTS, einzuschleusen, wodurch die beabsichtigte Befehlsstruktur beschädigt wird. Infolgedessen kann die Metasploit-Konsole unbeabsichtigte Befehle ausführen, was potenziell zu einer willkürlichen Befehlsausführung und Manipulation von Metasploit-Sitzungen führen kann. Der CVSS-Wert von 8,6 weist auf eine hohe Schweregrad hin, insbesondere in Umgebungen, in denen Metasploit für Penetrationstests oder Sicherheitsbewertungen verwendet wird. Das Fehlen eines verfügbaren Fixes verschärft die Situation und erfordert sofortige Vorsichtsmaßnahmen.
Die Ausnutzung von CVE-2026-5463 erfordert einen Angreifer mit Zugriff auf die Metasploit-Konsole oder der Fähigkeit, Moduloptionen zu beeinflussen. Der Angreifer kann Zeilenumbrüche in Optionsfelder, wie z.B. RHOSTS, einschleusen, um die Befehlsstruktur zu unterbrechen. Beispielsweise könnte ein Angreifer eine Eingabe für RHOSTS bereitstellen, die einen Zeilenumbruch enthält, gefolgt von einem bösartigen Befehl. Wenn Metasploit diese Eingabe verarbeitet, interpretiert es den Zeilenumbruch als das Ende der RHOSTS-Option und führt den bösartigen Befehl als zusätzlichen Befehl aus. Die Effektivität der Ausnutzung hängt von der Systemkonfiguration und den Berechtigungen des Benutzers ab, der Metasploit ausführt.
Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.
• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized.
• python: Monitor Python logs for unusual command execution patterns or errors related to module execution.
• generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters.
• generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.
disclosure
Exploit-Status
EPSS
1.78% (83% Perzentil)
CISA SSVC
CVSS-Vektor
Da es für CVE-2026-5463 keinen offiziellen Fix gibt, konzentriert sich die Abschwächung auf die Risikominderung. Die wichtigste Empfehlung ist, die Verwendung von pymetasploit3 zu vermeiden, bis ein Update veröffentlicht wird. Wenn die Verwendung von pymetasploit3 unerlässlich ist, beschränken Sie den Zugriff auf die Metasploit-Konsole strikt auf autorisierte und vertrauenswürdige Benutzer. Implementieren Sie außerdem eine gründliche Überwachung der Konsolenaktivität auf ungewöhnliche oder verdächtige Befehle. Eine strenge Validierung der Benutzereingaben, insbesondere für Moduloptionen wie RHOSTS, kann dazu beitragen, Command Injection zu verhindern. Erwägen Sie, auf neuere Versionen des Metasploit Framework zu migrieren, falls möglich, da diese möglicherweise nicht anfällig für diese Schwachstelle sind.
Actualice la biblioteca pymetasploit3 a una versión posterior a la 1.0.6. Esto solucionará la vulnerabilidad de inyección de comandos. Puede actualizar usando pip: `pip install --upgrade pymetasploit3`.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Dies weist auf eine hohe Schweregrad hin, was bedeutet, dass die Schwachstelle leicht ausgenutzt werden kann und erhebliche Auswirkungen haben kann.
Derzeit gibt es für CVE-2026-5463 keinen offiziellen Fix.
Beschränken Sie den Konsolenzugriff, überwachen Sie die Aktivität und validieren Sie die Benutzereingaben.
Vermeiden Sie die Verwendung von pymetasploit3, bis ein Update veröffentlicht wird, und implementieren Sie die Abschwächungsmaßnahmen.
Es ist eine Angriffstechnik, die es einem Angreifer ermöglicht, willkürliche Befehle auf einem System auszuführen, indem er einen Mangel an Eingabevalidierung ausnutzt.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine requirements.txt-Datei hoch und wir sagen dir sofort, ob du betroffen bist.