Das hier ist ein vollständig KI generierter Artikel.

In der Metasploit-Woche dreht sich vieles um Persistenz, unsichere Upload-Handler und erstaunlich simple Filter-Bypässe. Neben einem neuen Persistenz-Modul für Vim wurden mehrere Schwachstellen in Enterprise-Tools wie Marvell QConvergeConsole, GestioIP und Dolibarr ERP/CRM in Form neuer Metasploit-Module umgesetzt, ergänzt um eine kleine, aber wichtige Framework-Erweiterung für flexiblere Optionen.

Vim-Plugin als Persistenzmechanismus

Das neue Modul linux/persistence/vim_plugin nutzt die Plugin-Funktionalität von Vim, um auf Linux-Systemen eine dauerhafte Präsenz zu etablieren. Es schreibt ein bösartiges Plugin in das Verzeichnis ~/.vim/plugin/ des Zielbenutzers. Sobald dieser Benutzer Vim erneut startet, wird das Plugin geladen, führt den konfigurierten Payload aus und öffnet eine neue Sitzung im Kontext des betroffenen Users. Für Angreifer ist dies ein unauffälliger Weg, bestehende Zugriffe zu verstetigen, da Vim auf vielen Systemen ohnehin vorhanden und im Alltag häufig genutzt wird.

Marvell QConvergeConsole: Pfad-Traversal ohne Authentifizierung

Mit gather/qconvergeconsole_traversal erhält Metasploit ein neues Auxiliary-Modul für eine Pfad-Traversal-Schwachstelle in Marvell QConvergeConsole (CVE-2025-6793). Betroffen sind Versionen bis einschließlich 5.5.0.85. Das Modul erlaubt das Auslesen beliebiger Dateien auf dem Zielhost, ohne dass eine Authentifizierung erforderlich ist. Für Angreifer eröffnet dies insbesondere Zugriff auf Konfigurationsdateien, Zugangsdaten oder Logfiles, die wiederum als Sprungbrett für weitergehende Angriffe dienen können.

GestioIP 3.5.7: Authentifizierte Remote Code Execution

Das Exploit-Modul multi/http/gestioip_rce adressiert eine Schwachstelle in GestioIP 3.5.7 (CVE-2024-48760). Ein authentifizierter Administrator kann den unsicheren Upload-Handler unter /api/upload.cgi missbrauchen, um das Skript selbst mit einer Hintertür zu überschreiben. Anschließend wird diese Backdoor aufgerufen, um beliebige Kommandos im Kontext der Anwendung auszuführen. Die Voraussetzung sind gültige Admin-Zugangsdaten, was das Risiko vor allem in Umgebungen mit schwacher Zugangskontrolle oder geteilten Accounts erhöht.

Dolibarr ERP/CRM: PHP-Code-Injection trotz Filter

Für Dolibarr ERP/CRM steht mit unix/http/dolibarr_cms_rce_cve_2023_30253 ein neues Modul zur Verfügung, das eine authentifizierte PHP-Code-Injection (CVE-2023-30253) ausnutzt. Betroffen sind Versionen vor 17.0.1. Die Anwendung versucht, schädlichen Code durch das Filtern des Strings <?php zu blockieren. Das Modul umgeht diese Schutzmaßnahme, indem es Payloads mit Großschreibung (<?PHP) injiziert, die vom Filter nicht erkannt, vom PHP-Interpreter aber dennoch ausgeführt werden. Erforderlich sind gültige Zugangsdaten mit Zugriff auf das Website-Modul von Dolibarr.

Framework-Verbesserung: OptArray für Mehrfachwerte

Auf Framework-Ebene wurde mit OptArray ein neuer Datastore-Optionstyp eingeführt. Bisher mussten Optionen mit mehreren Werten in der Regel als kommaseparierte Zeichenketten eingegeben werden. Mit OptArray können Entwickler nun echte Arrays verwenden, was die Handhabung komplexerer Konfigurationen vereinfacht und Fehler durch fehlerhafte String-Verarbeitung reduziert.

Fazit

Die aktuelle Metasploit-Runde zeigt einmal mehr, wie unterschiedlich Schwachstellen in Unternehmenssoftware aussehen können: von trivialen Filter-Bypässen über unsichere Upload-Handler bis hin zu ungeschützten Pfad-Traversals. Für Verteidiger bedeutet dies, nicht nur auf Patches zu achten, sondern auch Konfiguration, Rechtevergabe und den Einsatz von Werkzeugen wie Vim im Blick zu behalten. Metasploit liefert mit den neuen Modulen praxisnahe Testmöglichkeiten, um eigene Umgebungen gezielt auf diese Schwachstellen zu überprüfen.

KI-Schattenartikel: Dieser Beitrag wurde mit Unterstützung eines Sprachmodells erstellt und redaktionell angepasst.

Quelle: https://www.rapid7.com/blog/post/pt-metasploit-wrap-up-05-15-2026/