Krytyczna luka w pymetasploit3 umożliwiająca wykonanie poleceń

Luka command injection w pymetasploit3 do 1.0.6 pozwala na wykonanie nieautoryzowanych poleceń w Metasploit. Zalecane szybkie działania zabezpieczające.
CVE-2026-5463CVSS 9.3General

Krytyczna luka w pymetasploit3 umożliwiająca wykonanie poleceń

Luka command injection w pymetasploit3 do 1.0.6 pozwala na wykonanie nieautoryzowanych poleceń w Metasploit. Zalecane szybkie działania zabezpieczające.

CVSS
9.3 CRITICAL
EPSS
77.45%
Aktywnie wykorzystywana
brak w KEV
Produkt
pymetasploit3

Co wiadomo

W pymetasploit3 do wersji 1.0.6 wykryto lukę typu command injection w funkcji console.run_module_with_output(), która pozwala na wstrzyknięcie znaków nowej linii do opcji modułu, np. RHOSTS. Może to prowadzić do wykonania niezamierzonych poleceń w konsoli Metasploit i przejęcia sesji.

Wpływ biznesowy

Luka o wysokiej krytyczności (CVSS 9.3) umożliwia atakującemu wykonanie dowolnych poleceń w kontekście konsoli Metasploit, co może skutkować przejęciem kontroli nad sesjami i manipulacją środowiskiem testowym. Operatorzy infrastruktury korzystający z pymetasploit3 powinni traktować tę podatność jako poważne zagrożenie dla bezpieczeństwa i integralności systemów.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji lub poprawek od dostawcy pymetasploit3. W przypadku braku łatki należy ograniczyć dostęp do narzędzia, monitorować logi pod kątem podejrzanych działań oraz weryfikować konfigurację modułów, aby zapobiec wstrzyknięciu nieautoryzowanych poleceń. Priorytetowo traktuj wdrożenie zabezpieczeń minimalizujących ryzyko wykorzystania tej luki.

Źródła