Plataforma
python
Componente
pymetasploit3
Corrigido em
1.0.7
1.0.7
A vulnerabilidade CVE-2026-5463 é uma falha de Command Injection identificada no componente pymetasploit3. Essa falha permite que atacantes injetem caracteres de nova linha em opções de módulo, como RHOSTS, comprometendo a estrutura de comandos e possibilitando a execução de comandos não intencionais. As versões afetadas são pymetasploit3 de 0 até 1.0.6; uma correção foi lançada na versão 1.0.7.
A vulnerabilidade CVE-2026-5463 em pymetasploit3 (versões até 1.0.6) representa um risco significativo devido a uma falha de injeção de comandos na função console.runmodulewith_output(). Isso permite que um atacante injete caracteres de nova linha em opções de módulos, como RHOSTS, o que corrompe a estrutura de comando pretendida. Consequentemente, o console do Metasploit pode executar comandos não intencionais, levando potencialmente à execução arbitrária de comandos e à manipulação de sessões do Metasploit. A pontuação CVSS de 8.6 indica uma severidade alta, especialmente em ambientes onde o Metasploit é usado para testes de penetração ou avaliações de segurança. A falta de uma correção disponível agrava a situação, exigindo medidas preventivas imediatas.
A exploração da CVE-2026-5463 requer um atacante com acesso ao console do Metasploit ou a capacidade de influenciar as opções do módulo. O atacante pode injetar caracteres de nova linha em campos de opções, como RHOSTS, para quebrar a estrutura de comando. Por exemplo, um atacante pode fornecer uma entrada para RHOSTS que contenha um caractere de nova linha seguido de um comando malicioso. Quando o Metasploit processa essa entrada, ele interpreta a nova linha como o fim da opção RHOSTS e executa o comando malicioso como um comando adicional. A eficácia da exploração depende da configuração do sistema e das permissões do usuário que executa o Metasploit.
Organizations and individuals utilizing pymetasploit3 for penetration testing, vulnerability assessment, or security automation are at risk. This includes security professionals, red team operators, and developers integrating pymetasploit3 into custom security tools. Those relying on older, unpatched versions of pymetasploit3 are particularly vulnerable.
• python: Inspect pymetasploit3 module code for instances of console.runmodulewith_output() where user-supplied input (e.g., RHOSTS) is not properly sanitized.
• python: Monitor Python logs for unusual command execution patterns or errors related to module execution.
• generic web: If pymetasploit3 is integrated into a web application, monitor access logs for requests containing suspicious characters or patterns in module parameters.
• generic web: Review web application firewall (WAF) logs for command injection attempts targeting pymetasploit3 endpoints.
disclosure
Status do Exploit
EPSS
1.78% (percentil 83%)
CISA SSVC
Vetor CVSS
Considerando que não há uma correção oficial disponível para CVE-2026-5463, a mitigação se concentra na redução de riscos. A recomendação principal é evitar o uso de pymetasploit3 até que uma atualização seja lançada. Se o uso de pymetasploit3 for essencial, limite estritamente o acesso ao console do Metasploit, restringindo-o apenas a usuários autorizados e confiáveis. Além disso, implemente um monitoramento completo da atividade do console em busca de comandos incomuns ou suspeitos. A validação rigorosa das entradas do usuário, especialmente para opções de módulos como RHOSTS, pode ajudar a prevenir a injeção de comandos. Considere a possibilidade de migrar para versões mais recentes do Metasploit Framework, se viável, pois elas podem não ser suscetíveis a esta vulnerabilidade.
Actualice la biblioteca pymetasploit3 a una versión posterior a la 1.0.6. Esto solucionará la vulnerabilidad de inyección de comandos. Puede actualizar usando pip: `pip install --upgrade pymetasploit3`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Indica uma severidade alta, o que significa que a vulnerabilidade é facilmente explorável e pode ter um impacto significativo.
Atualmente, não há uma correção oficial disponível para CVE-2026-5463.
Limite o acesso ao console, monitore a atividade e valide as entradas do usuário.
Evite usar pymetasploit3 até que uma atualização seja lançada e implemente as medidas de mitigação.
É uma técnica de ataque que permite que um atacante execute comandos arbitrários em um sistema, explorando a falta de validação das entradas do usuário.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.