Metasploit 添加 Vim 插件持久性，针对三个 CVE 的漏洞利用

Metasploit 添加 Vim 插件持久性，利用三个 CVE 的漏洞

执行摘要

Rapid7 在 2026 年 5 月 15 日发布了四个新的 Metasploit Framework 模块，包括一个新颖的 Linux 持久性机制，该机制利用 Vim 插件进行武器化，以及针对 Marvell QConvergeConsole、GestioIP 和 Dolibarr ERP/CRM 中三个不同漏洞的漏洞利用。由研究者 @h00die 提供的 Vim 插件持久性模块，将恶意插件写入目标用户的 ~/.vim/plugin/ 目录；当用户下次启动 Vim 时，有效载荷执行，以该用户身份打开新会话。这三个漏洞利用针对未经认证的路径遍历（CVE-2025-6793）、经过认证的远程代码执行（CVE-2024-48760）以及经过认证的 PHP 代码注入，带有过滤器绕过（CVE-2023-30253）。

技术分析

Vim 插件持久性

研究者 @h00die 提供了一个 Linux 持久性模块，利用一个行为常数：Vim 会话通常无限期保持打开状态，用户很少审计他们的插件目录。该模块将 Vim 脚本文件写入 ~/.vim/plugin/，包含 Metasploit 有效载荷。当 Vim 启动时，它会自动加载该目录中的所有插件，无需任何额外的用户交互即可执行有效载荷，只需启动编辑器即可。根据 Rapid7 的总结帖子，该模块将此框架为“加入现有的人质情况” —— Vim 作为应用程序的持久性使其成为攻击者持久性的理想载体。

Marvell QConvergeConsole 路径遍历（CVE-2025-6793）

CVE-2025-6793 影响 Marvell QConvergeConsole 版本 5.5.0.85 及更早版本。辅助模块由 h4x-x0r 提供，并基于 Michael Heinzl 和 rgod 的工作，利用未经认证的路径遍历漏洞（ZDI-25-450）从目标主机读取任意文件。无需认证。模块的拉取请求（#21322）表明遍历允许访问服务器上的敏感配置文件、凭证和其他数据。

GestioIP 3.5.7 远程命令执行（CVE-2024-48760）

CVE-2024-48760 是 GestioIP 3.5.7 中的一个经过认证的远程代码执行漏洞，GestioIP 是一个 IP 地址管理工具。研究人员 maxibelino 和 odeez24（通过 Odeez24 贡献）开发了一个漏洞利用，针对 /api/upload.cgi 的不安全上传处理程序。拥有管理员凭据的攻击者可以覆盖上传脚本本身，用后门；然后服务器执行后门脚本，运行攻击者提供的命令。漏洞利用需要有效的管理员凭据，但不需要额外的权限。

Dolibarr ERP/CRM 经过认证的代码注入（CVE-2023-30253）

CVE-2023-30253 是 Dolibarr ERP/CRM 版本 17.0.1 之前的一个经过认证的 PHP 代码注入漏洞。研究人员 Emanuele Cervelli 和 Tinexta Cyber Offensive Security Team 确定 Dolibarr 的 Website 模块通过检查字符串 <?php 来过滤 PHP 注入尝试。贡献者 M4nu02 开发了一个漏洞利用模块（拉取请求 #21362），通过使用大写的 <?PHP 标签代替小写形式来绕过此过滤器。该模块需要有效的凭据和对 Website 模块的访问权限。该漏洞最初在 2023 年被披露，但在未修补的实例上仍然可以被利用。

框架增强

除了模块外，Metasploit 还增加了一个 OptArray 数据存储选项类型（来自 Aaditya1273 的拉取请求 #20617）。以前，多值数据存储选项需要逗号分隔的字符串；开发者现在可以使用 OptArray 进行更干净的输入处理。

缓解措施与建议

防御者应优先将 Marvell QConvergeConsole 修补到 5.5.0.85 之后的版本，以关闭未经认证的路径遍历。对于 GestioIP 3.5.7，如果有可用的修补版本，请升级；通过网络分段或认证加固限制对 /api/upload.cgi 端点的管理员访问权限。Dolibarr 实例应更新到 17.0.1 或更高版本。Vim 插件持久性模块突出了监控用户主目录中未经授权的文件写入的重要性，特别是在 ~/.vim/plugin/ 下。组织应考虑端点检测规则，以警报在 Vim 插件目录中创建的新文件，特别是那些包含编码有效载荷或从非 Vim 进程生成的文件。