मुफ्त स्कैन करें
HIGHCVE-2026-5463CVSS 8.6

pymetasploit3 के संस्करण 1.0.6 तक console.run_module_with_output() में कमांड इंजेक्शन (Command injection) भेद्यता हमलावरों को RHOSTS जैसे मॉड्यूल विकल्पों में नई लाइन वर्ण इंजेक्ट करने की अनुमति देती है। यह टूट जाता है

प्लेटफ़ॉर्म

python

घटक

pymetasploit3

में ठीक किया गया

1.0.7

1.0.7

AI Confidence: highNVDEPSS 1.8%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-5463, pymetasploit3 में एक कमांड इंजेक्शन भेद्यता है। हमलावर मॉड्यूल विकल्पों में न्यूलाइन वर्णों को इंजेक्ट करके मनमाने कमांड निष्पादित कर सकते हैं। यह भेद्यता pymetasploit3 के 1.0.6 तक के संस्करणों को प्रभावित करती है। कोई आधिकारिक पैच उपलब्ध नहीं है।

Python

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

requirements.txt अपलोड करेंसमर्थित प्रारूप: requirements.txt · Pipfile.lock

प्रभाव और हमले की स्थितियाँ

pymetasploit3 (संस्करण 1.0.6 तक) में CVE-2026-5463 एक महत्वपूर्ण जोखिम प्रस्तुत करता है क्योंकि console.runmodulewith_output() फ़ंक्शन में कमांड इंजेक्शन भेद्यता है। यह एक हमलावर को मॉड्यूल विकल्पों में, जैसे कि RHOSTS में, नई लाइन वर्णों को इंजेक्ट करने की अनुमति देता है, जो इच्छित कमांड संरचना को दूषित करता है। नतीजतन, Metasploit कंसोल अनपेक्षित कमांड निष्पादित कर सकता है, जिससे संभावित रूप से मनमाना कमांड निष्पादन और Metasploit सत्रों का हेरफेर हो सकता है। CVSS स्कोर 8.6 उच्च गंभीरता को इंगित करता है, खासकर उन वातावरणों में जहां Metasploit का उपयोग प्रवेश परीक्षण या सुरक्षा मूल्यांकन के लिए किया जाता है। उपलब्ध फिक्स की कमी स्थिति को बढ़ाती है, तत्काल निवारक उपायों की आवश्यकता होती है।

शोषण संदर्भ

CVE-2026-5463 का शोषण करने के लिए Metasploit कंसोल तक पहुंच रखने वाले या मॉड्यूल विकल्पों को प्रभावित करने की क्षमता वाले हमलावर की आवश्यकता होती है। हमलावर RHOSTS जैसे विकल्प फ़ील्ड में नई लाइन वर्णों को इंजेक्ट कर सकता है ताकि कमांड संरचना को तोड़ दिया जा सके। उदाहरण के लिए, एक हमलावर RHOSTS के लिए एक इनपुट प्रदान कर सकता है जिसमें एक नई लाइन वर्ण के बाद एक दुर्भावनापूर्ण कमांड शामिल है। जब Metasploit इस इनपुट को संसाधित करता है, तो यह नई लाइन को RHOSTS विकल्प के अंत के रूप में व्याख्या करता है और दुर्भावनापूर्ण कमांड को एक अतिरिक्त कमांड के रूप में निष्पादित करता है। शोषण की प्रभावशीलता सिस्टम कॉन्फ़िगरेशन और Metasploit को निष्पादित करने वाले उपयोगकर्ता की अनुमतियों पर निर्भर करती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.

पहचान के चरणअनुवाद हो रहा है…

• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized. • python: Monitor Python logs for unusual command execution patterns or errors related to module execution. • generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters. • generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

1.78% (83% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L8.6HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकpymetasploit3
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
0 – 1.0.61.0.7
1.0.61.0.7

कमजोरी वर्गीकरण (CWE)

CWE-77

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 51 दिन

शमन और वर्कअराउंड

CVE-2026-5463 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं होने के कारण, शमन जोखिम को कम करने पर केंद्रित है। प्राथमिक सिफारिश pymetasploit3 का उपयोग तब तक न करें जब तक कि कोई अपडेट जारी न हो जाए। यदि pymetasploit3 का उपयोग करना आवश्यक है, तो Metasploit कंसोल तक पहुंच को सख्ती से सीमित करें, केवल अधिकृत और विश्वसनीय उपयोगकर्ताओं तक ही सीमित करें। इसके अतिरिक्त, असामान्य या संदिग्ध कमांड के लिए कंसोल गतिविधि की गहन निगरानी लागू करें। RHOSTS जैसे मॉड्यूल विकल्पों के लिए उपयोगकर्ता इनपुट का सख्त सत्यापन कमांड इंजेक्शन को रोकने में मदद कर सकता है। यदि संभव हो तो, Metasploit Framework के नए संस्करणों में माइग्रेट करने पर विचार करें, क्योंकि वे इस भेद्यता के प्रति संवेदनशील नहीं हो सकते हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice la biblioteca pymetasploit3 a una versión posterior a la 1.0.6. Esto solucionará la vulnerabilidad de inyección de comandos. Puede actualizar usando pip: `pip install --upgrade pymetasploit3`.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5463 क्या है — pymetasploit3 में Command Injection?

यह उच्च गंभीरता को इंगित करता है, जिसका अर्थ है कि भेद्यता का आसानी से शोषण किया जा सकता है और इसके महत्वपूर्ण परिणाम हो सकते हैं।

क्या मैं pymetasploit3 में CVE-2026-5463 से प्रभावित हूं?

वर्तमान में, CVE-2026-5463 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं है।

pymetasploit3 में CVE-2026-5463 को कैसे ठीक करें?

कंसोल एक्सेस को सीमित करें, गतिविधि की निगरानी करें और उपयोगकर्ता इनपुट को मान्य करें।

क्या CVE-2026-5463 का सक्रिय रूप से शोषण किया जा रहा है?

जब तक अपडेट जारी नहीं किया जाता है तब तक pymetasploit3 का उपयोग करने से बचें और शमन उपायों को लागू करें।

CVE-2026-5463 के लिए pymetasploit3 का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

यह एक हमला तकनीक है जो उपयोगकर्ता इनपुट सत्यापन की कमी का फायदा उठाकर हमलावर को सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देती है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें