Gratis scannen
HIGHCVE-2026-5463CVSS 8.6

Command injection kwetsbaarheid in console.run_module_with_output() in pymetasploit3 tot en met versie 1.0.6 stelt aanvallers in staat om newline karakters te injecteren in module opties zoals RHOSTS. Dit breekt

Platform

python

Component

pymetasploit3

Opgelost in

1.0.7

1.0.7

AI Confidence: highNVDEPSS 1.8%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-5463 is een Command Injection kwetsbaarheid in console.runmodulewith_output() in pymetasploit3. Aanvallers kunnen newline characters injecteren in module opties, waardoor de Metasploit console onbedoelde commando's uitvoert. Dit treft versies 0–1.0.6. Er is geen officiële patch beschikbaar.

Python

Detecteer deze CVE in je project

Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.

requirements.txt uploadenOndersteunde formaten: requirements.txt · Pipfile.lock

Impact en Aanvalsscenarios

CVE-2026-5463 in pymetasploit3 (versies tot 1.0.6) vormt een aanzienlijk risico vanwege een command injection-kwetsbaarheid in de functie console.runmodulewith_output(). Dit stelt een aanvaller in staat om newline-tekens in module-opties in te voegen, zoals RHOSTS, waardoor de bedoelde commandostructuur wordt beschadigd. Hierdoor kan de Metasploit-console onbedoelde commando's uitvoeren, wat mogelijk kan leiden tot willekeurige commando-uitvoering en manipulatie van Metasploit-sessies. De CVSS-score van 8.6 duidt op een hoge ernst, vooral in omgevingen waar Metasploit wordt gebruikt voor penetratietests of beveiligingsbeoordelingen. Het ontbreken van een beschikbare fix verergert de situatie en vereist onmiddellijke preventieve maatregelen.

Uitbuitingscontext

Het exploiteren van CVE-2026-5463 vereist een aanvaller met toegang tot de Metasploit-console of de mogelijkheid om module-opties te beïnvloeden. De aanvaller kan newline-tekens in optievelden, zoals RHOSTS, invoegen om de commandostructuur te doorbreken. Een aanvaller kan bijvoorbeeld een invoer voor RHOSTS verstrekken die een newline-teken bevat, gevolgd door een kwaadaardig commando. Wanneer Metasploit deze invoer verwerkt, interpreteert het de newline als het einde van de RHOSTS-optie en voert het het kwaadaardige commando uit als een extra commando. De effectiviteit van de exploitatie hangt af van de systeemconfiguratie en de rechten van de gebruiker die Metasploit uitvoert.

Wie Loopt Risicowordt vertaald…

Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.

Detectiestappenwordt vertaald…

• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized. • python: Monitor Python logs for unusual command execution patterns or errors related to module execution. • generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters. • generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

EPSS

1.78% (83% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaaryes
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:L8.6HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityLowVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentpymetasploit3
Leverancierosv
Getroffen bereikOpgelost in
0 – 1.0.61.0.7
1.0.61.0.7

Zwakheidsclassificatie (CWE)

CWE-77

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt
Geen patch — 51 dagen na openbaarmaking

Mitigatie en Workarounds

Aangezien er geen officiële fix beschikbaar is voor CVE-2026-5463, richt de mitigatie zich op risicoreductie. De belangrijkste aanbeveling is om het gebruik van pymetasploit3 te vermijden totdat een update is uitgebracht. Als het gebruik van pymetasploit3 essentieel is, beperk dan strikt de toegang tot de Metasploit-console, en reserveer deze alleen voor geautoriseerde en vertrouwde gebruikers. Implementeer bovendien een grondige monitoring van de console-activiteit op ongebruikelijke of verdachte commando's. Een strenge validatie van gebruikersinvoer, vooral voor module-opties zoals RHOSTS, kan helpen om command injection te voorkomen. Overweeg om te migreren naar nieuwere versies van het Metasploit Framework indien mogelijk, aangezien deze mogelijk niet kwetsbaar zijn voor deze kwetsbaarheid.

Hoe te verhelpenwordt vertaald…

Actualice la biblioteca pymetasploit3 a una versión posterior a la 1.0.6. Esto solucionará la vulnerabilidad de inyección de comandos. Puede actualizar usando pip: `pip install --upgrade pymetasploit3`.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-5463 — Command Injection in pymetasploit3?

Dit duidt op een hoge ernst, wat betekent dat de kwetsbaarheid gemakkelijk kan worden misbruikt en aanzienlijke gevolgen kan hebben.

Ben ik getroffen door CVE-2026-5463 in pymetasploit3?

Momenteel is er geen officiële fix beschikbaar voor CVE-2026-5463.

Hoe los ik CVE-2026-5463 in pymetasploit3 op?

Beperk de consoletoegang, bewaak de activiteit en valideer de gebruikersinvoer.

Wordt CVE-2026-5463 actief misbruikt?

Vermijd het gebruik van pymetasploit3 totdat een update is uitgebracht en implementeer de mitigatiemaatregelen.

Waar vind ik het officiële pymetasploit3-beveiligingsadvies voor CVE-2026-5463?

Het is een aanvalstechniek waarmee een aanvaller willekeurige commando's op een systeem kan uitvoeren door een gebrek aan invoervalidatie te exploiteren.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken