Metasploit Pro 4.22.7-2025042101 发布 - 专业渗透测试框架

Metasploit Pro 4.22.7-2025042101 (Linux, Windows) - 专业渗透测试框架

Rapid7 Penetration testing, released Apr 21, 2025

请访问原文链接：https://sysin.org/blog/metasploit-pro-4/ 查看最新版。原创作品，转载请保留出处。

作者主页：sysin.org

世界上最广泛使用的渗透测试框架

知识就是力量，尤其是当它被分享时。作为开源社区和 Rapid7 之间的合作，Metasploit 帮助安全团队做的不仅仅是验证漏洞、管理安全评估和提高安全意识 (sysin)；它使防守队员能够始终领先比赛一步（或两步）。

版本比较

Open Source: Metasploit Framework

下载：Metasploit Framework 6.4.55 (macOS, Linux, Windows) - 开源渗透测试框架

Commercial Support: Metasploit Pro

系统要求

MINIMUM HARDWARE:

• 2 GHz+ processor
• 4 GB RAM available (8 GB recommended)
• 1 GB available disk space (50 GB recommended)

OPERATING SYSTEMS:

x64 versions of the following platforms are supported.

Linux

• Ubuntu Linux 24.04 LTS (Recommended)
• Ubuntu Linux 20.04 LTS
• Ubuntu Linux 18.04 LTS
• Ubuntu Linux 16.04 LTS
• Ubuntu Linux 14.04 LTS
• Red Hat Enterprise Linux 9 or later (Not listed)
• Red Hat Enterprise Linux 8 or later
• Red Hat Enterprise Linux 7.1 or later
• Red Hat Enterprise Linux 6.5 or later

Windows

• Microsoft Windows Server 2025 (Not listed, Tested by sysin)
• Microsoft Windows Server 2022
• Microsoft Windows Server 2019
• Microsoft Windows Server 2016
• Microsoft Windows Server 2012 R2
• Microsoft Windows Server 2008 R2
• Microsoft Windows 11
• Microsoft Windows 10

BROWSERS:

• Google Chrome (latest)
• Mozilla Firefox (latest)

新增功能

2025 年 4 月 21 日 - 版本 4.22.7-2025042101

增强功能与特性：（共 6 项）

• Pro：在模块搜索页面新增卡片视图，可以查看该页面上模块的更多详细信息，例如与搜索词相关的操作、目标、可靠性以及副作用。
• Pro：配置新的 Nexpose 控制台时，新增更实用的错误信息提示。
• Pro：更新暴力破解页面，更清晰地显示将要执行暴力破解的 HTTP/HTTPS 目标。
• #20015：Metasploit 现在不会再尝试加载不支持运行时的外部模块，以避免程序崩溃。用户会收到提示信息，告知是否需要安装 Go 或 Python3。
• #20024：为 HTTP 模块新增 sslkeylogfile 数据存储选项，用于支持解密 SSL/TLS 网络流量。

新增模块内容：（共 7 项）

• #19994：新增 CVE-2021-35587 的利用模块，这是 Oracle Access Manager（OAM）中的一个未认证反序列化漏洞。
• #20000：新增辅助模块，利用 CVE-2025-2825（CrushFTP 11 < 11.3.1 和 10 < 10.8.4 中的身份验证绕过漏洞），可获取目标用户账户的有效会话 Cookie (抄si袭quan者jia)。
• #20007：新增 CVE-2024-55964 的利用模块，这是 Appsmith 中配置错误的 PostgreSQL 实例导致的远程代码执行漏洞（RCE）。
• #20008：针对 CVE-2024-12971 的模块，该漏洞为 PandoraFMS 的目录设置命令注入。该模块需使用管理员凭据，但若 MySQL 暴露且使用默认凭据，则可创建新的管理员账户。
• #20018：新增 CVE-2025-2945 的模块，这是 pgAdmin 中的一个已认证远程代码执行漏洞，位于查询工具中 (sysin)。利用成功需具备 pgAdmin 及目标数据库的有效凭据。
• #20022：新增 CVE-2025-3248 的模块，这是 Langflow 1.3.0 之前版本存在的未认证远程代码执行漏洞。
• #20041：新增 CVE-2025-27520 的模块，这是 BentoML 中的未认证远程代码执行漏洞。

问题修复：（共 5 项）

• Pro：修复在非 systemd 环境下执行备份/恢复功能时的一个问题。
• Pro：修复 Metasploit Pro 服务在 PostgreSQL 服务尚未准备好时尝试启动的错误。
• #20013：修复模块搜索缓存中使用整数时可能导致的崩溃问题。
• #20036：修复 exploit/windows/local/unquoted_service_path 模块中即使文件上传失败也报告成功的问题。
• #20043：当检测到旧版 Python 时，改进 AT&T 路由器 WAN-to-LAN 代理模块的错误处理。

下载地址

仅显示最新版，历史版本已存档，不定期清理。

Metasploit Pro 4.22.7-2025042101 for Linux x64, Apr 21, 2025

• 下载地址：https://sysin.org/blog/metasploit-pro-4/

Metasploit Pro 4.22.7-2025042101 for Windows x64, Apr 21, 2025

• 下载地址：https://sysin.org/blog/metasploit-pro-4/

相关产品：Nexpose 8.3.0 for Linux & Windows - 漏洞扫描

更多：HTTP 协议与安全