pymetasploit3 के संस्करण 1.0.6 तक console.run_module_with_output() में कमांड इंजेक्शन (Command injection) भेद्यता हमलावरों को RHOSTS जैसे मॉड्यूल विकल्पों में नई लाइन वर्ण इंजेक्ट करने की अनुमति देती है। यह टूट जाता है

pymetasploit3 (संस्करण 1.0.6 तक) में CVE-2026-5463 एक महत्वपूर्ण जोखिम प्रस्तुत करता है क्योंकि console.runmodulewith_output() फ़ंक्शन में कमांड इंजेक्शन भेद्यता है। यह एक हमलावर को मॉड्यूल विकल्पों में, जैसे कि RHOSTS में, नई लाइन वर्णों को इंजेक्ट करने की अनुमति देता है, जो इच्छित कमांड संरचना को दूषित करता है। नतीजतन, Metasploit कंसोल अनपेक्षित कमांड निष्पादित कर सकता है, जिससे संभावित रूप से मनमाना कमांड निष्पादन और Metasploit सत्रों का हेरफेर हो सकता है। CVSS स्कोर 8.6 उच्च गंभीरता को इंगित करता है, खासकर उन वातावरणों में जहां Metasploit का उपयोग प्रवेश परीक्षण या सुरक्षा मूल्यांकन के लिए किया जाता है। उपलब्ध फिक्स की कमी स्थिति को बढ़ाती है, तत्काल निवारक उपायों की आवश्यकता होती है।

Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.

• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized. • python: Monitor Python logs for unusual command execution patterns or errors related to module execution. • generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters. • generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.

1. 2026-04-03Disclosure

   disclosure

1. आरक्षित2026-04-03
2. प्रकाशित2026-04-03
3. संशोधित2026-04-06
4. EPSS अद्यतन2026-04-10

CVE-2026-5463 के लिए कोई आधिकारिक फिक्स उपलब्ध नहीं होने के कारण, शमन जोखिम को कम करने पर केंद्रित है। प्राथमिक सिफारिश pymetasploit3 का उपयोग तब तक न करें जब तक कि कोई अपडेट जारी न हो जाए। यदि pymetasploit3 का उपयोग करना आवश्यक है, तो Metasploit कंसोल तक पहुंच को सख्ती से सीमित करें, केवल अधिकृत और विश्वसनीय उपयोगकर्ताओं तक ही सीमित करें। इसके अतिरिक्त, असामान्य या संदिग्ध कमांड के लिए कंसोल गतिविधि की गहन निगरानी लागू करें। RHOSTS जैसे मॉड्यूल विकल्पों के लिए उपयोगकर्ता इनपुट का सख्त सत्यापन कमांड इंजेक्शन को रोकने में मदद कर सकता है। यदि संभव हो तो, Metasploit Framework के नए संस्करणों में माइग्रेट करने पर विचार करें, क्योंकि वे इस भेद्यता के प्रति संवेदनशील नहीं हो सकते हैं।