最后更新于2024年7月26日(星期五)18:07:13 GMT

新增模块内容(3)

Magento XXE反序列化任意文件读取

作者:Heyder和Sergey Temnikov
Type: Auxiliary
Pull request: #19304 contributed by heyder
Path: 收集/ magento_xxe_cve_2024_34102
AttackerKB参考: CVE-2024-34102

描述:这为XXE添加了一个辅助模块,该模块导致Magento中的任意文件被跟踪为CVE-2024-34102.

Ghostscript命令执行格式字符串

作者:Christophe De La fuente和Thomas Rinsma
Type: Exploit
Pull request: #19313 contributed by cdelafuente-r7
Path: 多/ fileformat / ghostscript_format_string_cve_2024_29510
AttackerKB参考: CVE-2024-29510

描述:增加了一个针对CVE-2024-29510的攻击模块, Ghostscript 10之前版本中存在格式字符串漏洞.03.1实现更安全的沙箱绕过和执行任意命令.

软化安全集成服务器v1.22远程代码执行

作者:Incite Team的Chris Anastasio(松饼),Imran E. Dawoodjee imrandawoodjee.infosec@gmail.com以及来自Incite Team的Steven Seeley (mr_me)
Type: Exploit
Pull request: #19084 contributed by ide0x90
Path: windows / http / softing_sis_rce
CVE参考号:ZDI-22-1156

描述:这增加了一个针对CVE-2022-1373和CVE-2022-2334的模块,作为针对软安全集成服务器1的攻击链.22.

增强功能和特性(2)

  • #19338 from adfoster-r7 改进了错误处理和进度跟踪 辅助/收集/ kerberos_enumusers and gather/asrep modules.
  • #19340 from adfoster-r7 - Improve 设置SessionLogging支持 来使用命令shell, 以及允许在任何时候打开/关闭日志记录-不仅仅是对于新创建的会话.

Documentation

您可以在我们的网站上找到最新的Metasploit文档 docs.metasploit.com.

Get it

与往常一样,您可以使用 msfupdate
自上一篇博文以来,你可以从
GitHub:

If you are a git 用户,可以克隆 Metasploit框架 (主分支)为最新.
要安装fresh而不使用git,您可以使用open-source-only 夜间的安装程序 or the
商业版 Metasploit Pro

cta2-1