CVE-2026-33727 in Pi-hole
Résumé
par VulDB • 24/06/2026
Pi-hole est une application de blocage des publicités et des traceurs Internet au niveau du réseau Linux. La version 6.4 présente une vulnérabilité d'élévation locale de privilèges qui permet l'exécution de code en tant que root à partir du compte pihole à faibles privilèges. Contexte important : le compte pihole utilise nologin, il ne s'agit donc pas d'un problème direct de connexion interactive. Cependant, nologin n'empêche pas l'exécution de code avec l'UID pihole si un composant Pi-hole est compromis. Dans ce scénario post-compromission réaliste, le contenu contrôlé par l'attaquant dans /etc/pihole/versions est exploité par des scripts Pi-hole exécutés en tant que root, conduisant à une exécution de code avec les privilèges root. Cette vulnérabilité est corrigée dans la version 6.4.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.