CVE-2026-33765 in web
الملخص
بحسب VulDB • 19/06/2026
تُعد واجهة إدارة Pi-hole واجهة ويب لإدارة تطبيق Pi-hole، وهو تطبيق لحجب الإعلانات وتتبع الإنترنت على مستوى الشبكة. تحتوي الإصدارات السابقة للإصدار 6.0 على ثغرة حقن أوامر نظام (OS Command Injection) خطيرة في ملف savesettings.php. يأخذ التطبيق معلمة $_POST['webtheme'] التي يتحكم فيها المستخدم ويقوم بدمجها مباشرةً ضمن أمر نظام يتم تنفيذه عبر دالة exec() الخاصة بلغة PHP. ونظراً لأن المدخلات لا تخضع للتنظيف أو التحقق من الصحة قبل تمريرها إلى غلاف النظام (shell)، يمكن للمهاجم إلحاق أوامر نظام عشوائية بالأمر المقصود pihole. علاوة على ذلك، نظراً لتنفيذ الأمر بصلاحيات sudo، ستعمل الأوامر المحقونة بامتيازات مرتفعة (على الأرجح امتيازات الجذر root). يقوم الإصدار 6.0 بإصلاح هذه الثغرة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.