Metasploit Pro 4.22.8-2025063001 (Linux, Windows) - 专业渗透测试框架
Rapid7 Penetration testing, released Jun 30, 2025
请访问原文链接:https://sysin.org/blog/metasploit-pro-4/ 查看最新版。原创作品,转载请保留出处。
作者主页:sysin.org
世界上最广泛使用的渗透测试框架
知识就是力量,尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作,Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin);它使防守队员能够始终领先比赛一步(或两步)。
新增功能
Metasploit Pro 最新发布
2025 年 6 月 30 日 — 版本 4.22.8-2025063001
✨ 新增模块内容(4)
- #20235 - 添加了一个无需认证的远程代码执行(RCE)模块,利用 vBulletin 5.0.0–6.0.3(PHP 8.1+)中
replaceAdTemplate
AJAX 端点的漏洞。该漏洞编号为 CVE-2025-48827。 - #20301 - 添加了针对 WP Tatsu 插件的漏洞利用模块。(CVE-2021-25094)
- #20324 - 添加了针对
.url
文件中 UNC 路径处理漏洞(CVE-2025-33053)的利用模块。该模块会生成恶意.url
文件 (抄si袭quan者jia),访问攻击者控制的 SMB 服务器并载入 Payload,诱使用户点击后可获得远程代码执行。 - #20341 - 新增
exploits/linux/http/skyvern_ssti_cve_2025_49619
模块,用于利用 Skyvern ≤0.1.84 中的服务器端模板注入漏洞。需要API_KEY
创建恶意工作流以执行远程代码。
⚙️ 增强与新功能(5)
- Pro:将 Metasploit Pro 的 Ruby 版本从 3.2.8 更新至 3.3.8。
- #20289 - 支持在 Metasploit 模块引用中使用 MITRE ATT&CK 框架 ID 标记内容,并新增对这些 ID 及其层级结构的搜索功能。
- #20326 - 更新
alias
插件,新增显示已注册别名总数。 - #20327 - 为
vulns
命令新增-v
选项,显示与漏洞相关的利用尝试。 - #20339 - 对
exploits/windows/fileformat/ms_visual_basic_vbp
模块做多项改进,新增注释和文档,提升代码质量、稳定性和随机性。
🐞 修复的问题(3)
- #20336 - 修正
exploit/linux/http/opennms_horizon_authenticated_rce
模块中架构变量ARCH_CMD
设置错误,解决用户无法指定 Payload 的问题。 - #20337 - 修正
exploit/linux/http/opentsdb_key_cmd_injection
模块中架构变量ARCH_CMD
设置错误,解决用户无法指定 Payload 的问题。 - #20346 - 修复
php_fpm_rce
模块因新增编码器导致 Payload 体积增大而无法正常工作的缺陷,替换为更小的 base64 编码器。
下载地址
仅显示最新版,历史版本已存档,不定期清理。
Metasploit Pro 4.22.8-2025063001 for Linux x64, Jun 30, 2025
Metasploit Pro 4.22.8-2025063001 for Windows x64, Jun 30, 2025
相关产品:Nexpose 8.15.1 for Linux & Windows - 漏洞扫描
更多:HTTP 协议与安全