CVE-2026-5463: Уразливість командної ін’єкції в pymetasploit3
Критична уразливість в pymetasploit3 дозволяє виконувати довільні команди через ін’єкцію символів нового рядка в параметри модулів.
- CVSS
- 9.3 CRITICAL
- EPSS
- 77.45%
- Активно використовується
- немає в KEV
- Продукт
- pymetasploit3
Що відомо
У pymetasploit3 до версії 1.0.6 виявлено критичну уразливість командної ін’єкції в функції console.run_module_with_output(). Зловмисники можуть вставляти символи нового рядка у параметри модулів, що призводить до виконання небажаних команд у консолі Metasploit.
Бізнес-вплив
Ця уразливість дозволяє потенційним нападникам виконувати довільні команди в середовищі Metasploit, що може призвести до компрометації сесій та порушення цілісності системи. Для організацій, які використовують pymetasploit3, це створює серйозний ризик безпеки, особливо якщо інструмент застосовується в автоматизованих сценаріях або відкритий для зовнішнього доступу.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від розробника danmcinerney для pymetasploit3 і застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до інструменту, ретельно перевіряти параметри введення та моніторити журнали на предмет підозрілої активності. Пріоритетно оцінити ризики використання pymetasploit3 у вашому середовищі та вжити заходів для зменшення експозиції.