pymetasploit3バージョン1.0.6までのconsole.run_module_with_output()のコマンドインジェクションの脆弱性により、攻撃者はRHOSTSなどのモジュールオプションに改行文字を注入できます。これにより、

pymetasploit3 (バージョン1.0.6まで) の CVE-2026-5463 は、console.runmodulewith_output() 関数におけるコマンドインジェクション脆弱性により重大なリスクをもたらします。これにより、攻撃者はRHOSTSなどのモジュールオプションに改行文字を挿入でき、意図されたコマンド構造が破損します。その結果、Metasploitコンソールは予期しないコマンドを実行する可能性があり、最終的に任意のコマンド実行やMetasploitセッションの操作につながる可能性があります。CVSSスコアの8.6は、侵入テストやセキュリティ評価のためにMetasploitが使用されている環境において、高い深刻度を示しています。利用可能な修正プログラムがないことは状況を悪化させ、即時の予防措置を必要とします。

Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.

• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized. • python: Monitor Python logs for unusual command execution patterns or errors related to module execution. • generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters. • generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.

1. 2026-04-03Disclosure

   disclosure

1. 予約済み2026-04-03
2. 公開日2026-04-03
3. 更新日2026-04-06
4. EPSS 更新日2026-04-10

CVE-2026-5463に対する公式な修正プログラムは利用できないため、軽減策はリスク軽減に焦点を当てています。主な推奨事項は、アップデートがリリースされるまでpymetasploit3の使用を避けることです。pymetasploit3の使用が不可欠な場合は、Metasploitコンソールへのアクセスを厳しく制限し、許可された信頼できるユーザーのみに制限してください。さらに、不審なコマンドがないか、コンソールアクティビティを徹底的に監視する必要があります。RHOSTSのようなモジュールオプションのユーザー入力の厳格な検証は、コマンドインジェクションを防ぐのに役立ちます。可能であれば、Metasploit Frameworkの新しいバージョンに移行することを検討してください。新しいバージョンは、この脆弱性に対して脆弱ではない可能性があります。