Metasploit发布7个新漏洞利用模块,覆盖三大系统安全防护
本次发布还通过新增持久化模块增强了攻击后能力。新的 Burp Suite 扩展持久化模块允许攻击者在专业版和社区版上安装恶意扩展,使其在用户启动应用时自动执行。 本周 Metasploit 框架的最
本次发布还通过新增持久化模块显著增强了攻击后的能力。新的Burp Suite扩展持久化模块能让攻击者将恶意扩展安装到专业版和社区版上,并在用户启动应用时自动执行。
本周Metasploit框架的最新更新为渗透测试人员和红队成员带来了重大增强,新增了七个针对常用企业软件的漏洞利用模块。本次更新的亮点包括三个针对FreePBX的复杂模块,以及针对Cacti和SmarterMail的关键远程代码执行(RCE)功能。
此次更新凸显了通过将认证绕过漏洞与次要漏洞串联以实现完全系统入侵的持续风险。

FreePBX漏洞串联攻击
框架最重要的新增功能涉及三个针对FreePBX的不同模块。FreePBX是控制Asterisk(PBX)的开源图形界面。研究人员Noah King和msutovsky-r7开发了一种方法,通过串联多个漏洞将权限从未认证状态提升至远程代码执行。
攻击链始于(CVE-2025-66039),这是一个认证绕过漏洞,允许未授权攻击者绕过登录协议。一旦突破认证屏障,框架提供了两条不同的RCE路径。
第一条利用路径利用了被标识为(CVE-2025-61675)的SQL注入漏洞。通过注入恶意SQL命令,攻击者可操纵数据库向cron_job表插入新任务,从而有效安排任意代码的执行。
第二条路径则利用(CVE-2025-61678),这是固件上传功能中存在的不受限制文件上传漏洞。攻击者可借此直接向服务器上传webshell,立即获得控制权。
该系列中的第三个辅助模块利用相同的SQL注入漏洞创建恶意管理员账户,展示了该漏洞利用链的多功能性。
Cacti和SmarterMail的关键RCE漏洞
除VoIP领域外,本次更新还涉及监控和通信平台的严重漏洞。新模块针对流行网络监控工具Cacti,专门利用(CVE-2025-24367)。该漏洞影响1.2.29之前版本,允许通过图形模板机制进行未认证远程代码执行。鉴于Cacti在基础设施监控中的广泛使用,该模块成为网络管理员需优先测试的案例。
同时,框架新增了对SmarterTools SmarterMail中(CVE-2025-52691)的利用支持。这一未认证文件上传漏洞依赖于对guid变量的路径遍历操作。该模块显著特点是兼容不同操作系统:针对Windows目标时,漏洞利用会在webroot目录部署webshell;针对Linux环境时,则通过创建/etc/cron.d定时任务实现持久化和执行。
持久化工具与核心修复
本次发布还通过新增持久化模块增强了攻击后能力。新的Burp Suite扩展持久化模块允许攻击者在专业版和社区版上安装恶意扩展,使其在用户启动应用时自动执行。此外,团队将Windows和Linux的SSH密钥持久化功能整合为统一模块以简化操作。
在维护方面,修复了若干关键错误。包括导致哈希数据与John the Ripper密码破解工具不兼容的格式问题,以及SSH登录扫描器中存在的逻辑错误(该错误曾将会话无法开启的成功登录误报为失败),现已修复以确保测试期间报告的准确性。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
地下室发现尘封12年AMD前CEO旧PC苏姿丰签名推土机硬件
一位技工在客户家地下室发现一台属于AMD前CEORoryRead的旧PC,机箱上留有苏姿丰等高管签名,配置为推土机时代硬件且从未开机。这台电脑封存了AMD从推土机失败到Zen架构崛起的关键转折历史。
Laravel 12生态成熟助力全栈开发效率提升
Laravel12延续开发体验优势,在项目结构、查询构建、API开发、调试及性能上持续优化。其生态日趋成熟,形成Reverb、Pulse等完整工具链,覆盖API、SaaS、企业后台及AI应用开发。与Next js的组合逐渐流行,Laravel已演变为现代Web开发平台,保持社区活力。
Linux内核持续演进:Rust语言与零拷贝网络成新焦点
LinuxKernel6 15重大更新:Rust驱动正式入主线,NOVADRM成为首个实践案例;io_uring新增零拷贝网络接收,降低CPU开销与延迟;Btrfs增强实时zstd压缩、DirectIO及稳定性。内核同步推进安全化与高性能网络化。
谷歌Gemini进入Agent时代 打造全天候AI助理
Google推出GeminiSpark、Omni等新功能。Spark可全天候在后台运行,主动处理邮件、日历等任务;Omni侧重视频理解与环境推理,布局世界模型。AI正从被动回答转向主动观察、规划与执行,标志着竞赛进入新阶段。
CPU-Z 2.20.2正式版发布 支持Intel三大平台及AMD锐龙AI Max
CPU-Z2 20 2正式版发布,新增支持IntelPantherLake、WildcatLake、BartlettLake三大架构及AMD锐龙AIMax、Pro系列,加入锐炫G3识别库,修复缓存错误和锐龙77700X3D检测问题,免费下载。
- 热门数据榜
相关攻略
2026-07-10 10:06
2026-07-10 10:06
2026-07-10 10:06
2026-07-10 10:05
2026-07-10 10:05
2026-07-10 10:05
2026-07-10 10:05
2026-07-10 10:05
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程

