CVE-2026-33727 in Pi-hole
Zusammenfassung
von VulDB • 24.06.2026
Pi-hole ist eine Linux-Anwendung zur Blockierung von Werbung und Internet-Trackern auf Netzwerkebene. Version 6.4 weist eine lokale Privilegieneskalationslücke (Local Privilege Escalation) auf, die es ermöglicht, Code als Root-Benutzer aus dem niedrig privilegierten pihole-Konto heraus auszuführen. Wichtiger Kontext: Das Konto „pihole“ verwendet nologin, sodass dies kein direktes Problem für interaktive Anmeldungen darstellt. Allerdings verhindert nologin nicht, dass Code mit der UID von pihole ausgeführt wird, wenn eine Pi-hole-Komponente kompromittiert ist. In diesem realistischen Szenario nach einer Kompromittierung werden angreiferkontrollierte Inhalte in /etc/pihole/versions von als Root ausgeführten Pi-hole-Skripten geladen und verarbeitet, was zur Ausführung von Code mit Root-Rechten führt. Diese Schwachstelle wurde in Version 6.4.1 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.