CVE-2026-5463: Уразливість командної ін’єкції в pymetasploit3

Критична уразливість в pymetasploit3 дозволяє виконувати довільні команди через ін’єкцію символів нового рядка в параметри модулів.
CVE-2026-5463CVSS 9.3General

CVE-2026-5463: Уразливість командної ін’єкції в pymetasploit3

Критична уразливість в pymetasploit3 дозволяє виконувати довільні команди через ін’єкцію символів нового рядка в параметри модулів.

CVSS
9.3 CRITICAL
EPSS
77.45%
Активно використовується
немає в KEV
Продукт
pymetasploit3

Що відомо

У pymetasploit3 до версії 1.0.6 виявлено критичну уразливість командної ін’єкції в функції console.run_module_with_output(). Зловмисники можуть вставляти символи нового рядка у параметри модулів, що призводить до виконання небажаних команд у консолі Metasploit.

Бізнес-вплив

Ця уразливість дозволяє потенційним нападникам виконувати довільні команди в середовищі Metasploit, що може призвести до компрометації сесій та порушення цілісності системи. Для організацій, які використовують pymetasploit3, це створює серйозний ризик безпеки, особливо якщо інструмент застосовується в автоматизованих сценаріях або відкритий для зовнішнього доступу.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень від розробника danmcinerney для pymetasploit3 і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до інструменту, ретельно перевіряти параметри введення та моніторити журнали на предмет підозрілої активності. Пріоритетно оцінити ризики використання pymetasploit3 у вашому середовищі та вжити заходів для зменшення експозиції.

Джерела