Platform
python
Component
pymetasploit3
Opgelost in
1.0.7
1.0.7
CVE-2026-5463 is een Command Injection kwetsbaarheid in console.runmodulewith_output() in pymetasploit3. Aanvallers kunnen newline characters injecteren in module opties, waardoor de Metasploit console onbedoelde commando's uitvoert. Dit treft versies 0–1.0.6. Er is geen officiële patch beschikbaar.
CVE-2026-5463 in pymetasploit3 (versies tot 1.0.6) vormt een aanzienlijk risico vanwege een command injection-kwetsbaarheid in de functie console.runmodulewith_output(). Dit stelt een aanvaller in staat om newline-tekens in module-opties in te voegen, zoals RHOSTS, waardoor de bedoelde commandostructuur wordt beschadigd. Hierdoor kan de Metasploit-console onbedoelde commando's uitvoeren, wat mogelijk kan leiden tot willekeurige commando-uitvoering en manipulatie van Metasploit-sessies. De CVSS-score van 8.6 duidt op een hoge ernst, vooral in omgevingen waar Metasploit wordt gebruikt voor penetratietests of beveiligingsbeoordelingen. Het ontbreken van een beschikbare fix verergert de situatie en vereist onmiddellijke preventieve maatregelen.
Het exploiteren van CVE-2026-5463 vereist een aanvaller met toegang tot de Metasploit-console of de mogelijkheid om module-opties te beïnvloeden. De aanvaller kan newline-tekens in optievelden, zoals RHOSTS, invoegen om de commandostructuur te doorbreken. Een aanvaller kan bijvoorbeeld een invoer voor RHOSTS verstrekken die een newline-teken bevat, gevolgd door een kwaadaardig commando. Wanneer Metasploit deze invoer verwerkt, interpreteert het de newline als het einde van de RHOSTS-optie en voert het het kwaadaardige commando uit als een extra commando. De effectiviteit van de exploitatie hangt af van de systeemconfiguratie en de rechten van de gebruiker die Metasploit uitvoert.
Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.
• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized.
• python: Monitor Python logs for unusual command execution patterns or errors related to module execution.
• generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters.
• generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.
disclosure
Exploit Status
EPSS
1.78% (83% percentiel)
CISA SSVC
CVSS-vector
Aangezien er geen officiële fix beschikbaar is voor CVE-2026-5463, richt de mitigatie zich op risicoreductie. De belangrijkste aanbeveling is om het gebruik van pymetasploit3 te vermijden totdat een update is uitgebracht. Als het gebruik van pymetasploit3 essentieel is, beperk dan strikt de toegang tot de Metasploit-console, en reserveer deze alleen voor geautoriseerde en vertrouwde gebruikers. Implementeer bovendien een grondige monitoring van de console-activiteit op ongebruikelijke of verdachte commando's. Een strenge validatie van gebruikersinvoer, vooral voor module-opties zoals RHOSTS, kan helpen om command injection te voorkomen. Overweeg om te migreren naar nieuwere versies van het Metasploit Framework indien mogelijk, aangezien deze mogelijk niet kwetsbaar zijn voor deze kwetsbaarheid.
Actualice la biblioteca pymetasploit3 a una versión posterior a la 1.0.6. Esto solucionará la vulnerabilidad de inyección de comandos. Puede actualizar usando pip: `pip install --upgrade pymetasploit3`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit duidt op een hoge ernst, wat betekent dat de kwetsbaarheid gemakkelijk kan worden misbruikt en aanzienlijke gevolgen kan hebben.
Momenteel is er geen officiële fix beschikbaar voor CVE-2026-5463.
Beperk de consoletoegang, bewaak de activiteit en valideer de gebruikersinvoer.
Vermijd het gebruik van pymetasploit3 totdat een update is uitgebracht en implementeer de mitigatiemaatregelen.
Het is een aanvalstechniek waarmee een aanvaller willekeurige commando's op een systeem kan uitvoeren door een gebrek aan invoervalidatie te exploiteren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.