Krytyczna luka w pymetasploit3 umożliwiająca wykonanie poleceń
Luka command injection w pymetasploit3 do 1.0.6 pozwala na wykonanie nieautoryzowanych poleceń w Metasploit. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.3 CRITICAL
- EPSS
- 77.45%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- pymetasploit3
Co wiadomo
W pymetasploit3 do wersji 1.0.6 wykryto lukę typu command injection w funkcji console.run_module_with_output(), która pozwala na wstrzyknięcie znaków nowej linii do opcji modułu, np. RHOSTS. Może to prowadzić do wykonania niezamierzonych poleceń w konsoli Metasploit i przejęcia sesji.
Wpływ biznesowy
Luka o wysokiej krytyczności (CVSS 9.3) umożliwia atakującemu wykonanie dowolnych poleceń w kontekście konsoli Metasploit, co może skutkować przejęciem kontroli nad sesjami i manipulacją środowiskiem testowym. Operatorzy infrastruktury korzystający z pymetasploit3 powinni traktować tę podatność jako poważne zagrożenie dla bezpieczeństwa i integralności systemów.
Rekomendowane działania administratora
Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji lub poprawek od dostawcy pymetasploit3. W przypadku braku łatki należy ograniczyć dostęp do narzędzia, monitorować logi pod kątem podejrzanych działań oraz weryfikować konfigurację modułów, aby zapobiec wstrzyknięciu nieautoryzowanych poleceń. Priorytetowo traktuj wdrożenie zabezpieczeń minimalizujących ryzyko wykorzystania tej luki.