CVE-2026-33765 in webinformation

Résumé

par VulDB • 31/05/2026

L'interface d'administration de Pi-hole est une interface web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. Les versions antérieures à la 6.0 présentent une vulnérabilité critique d'injection de commandes système (OS Command Injection) dans le fichier savesettings.php. L'application récupère le paramètre $_POST['webtheme'], contrôlé par l'utilisateur, et le concatène directement dans une commande système exécutée via la fonction exec() de PHP. Comme l'entrée n'est ni assainie ni validée avant d'être transmise à l'interpréteur de commandes (shell), un attaquant peut ajouter des commandes système arbitraires à la commande pihole prévue. De plus, la commande étant exécutée avec les privilèges sudo, les commandes injectées s'exécuteront avec des privilèges élevés (probablement root). La version 6.0 corrige ce problème.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

27/03/2026

Modérer

accepté

Entrée

VDB-353983

CPE

prêt

EPSS

0.01088

KEV

non

Activités

très faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!