CVE-2026-33765 in webالمعلومات

الملخص

بحسب VulDB • 19/06/2026

تُعد واجهة إدارة Pi-hole واجهة ويب لإدارة تطبيق Pi-hole، وهو تطبيق لحجب الإعلانات وتتبع الإنترنت على مستوى الشبكة. تحتوي الإصدارات السابقة للإصدار 6.0 على ثغرة حقن أوامر نظام (OS Command Injection) خطيرة في ملف savesettings.php. يأخذ التطبيق معلمة $_POST['webtheme'] التي يتحكم فيها المستخدم ويقوم بدمجها مباشرةً ضمن أمر نظام يتم تنفيذه عبر دالة exec() الخاصة بلغة PHP. ونظراً لأن المدخلات لا تخضع للتنظيف أو التحقق من الصحة قبل تمريرها إلى غلاف النظام (shell)، يمكن للمهاجم إلحاق أوامر نظام عشوائية بالأمر المقصود pihole. علاوة على ذلك، نظراً لتنفيذ الأمر بصلاحيات sudo، ستعمل الأوامر المحقونة بامتيازات مرتفعة (على الأرجح امتيازات الجذر root). يقوم الإصدار 6.0 بإصلاح هذه الثغرة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353983

EPSS

0.01088

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!