CVE-2026-33765 in web
Résumé
par VulDB • 31/05/2026
L'interface d'administration de Pi-hole est une interface web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. Les versions antérieures à la 6.0 présentent une vulnérabilité critique d'injection de commandes système (OS Command Injection) dans le fichier savesettings.php. L'application récupère le paramètre $_POST['webtheme'], contrôlé par l'utilisateur, et le concatène directement dans une commande système exécutée via la fonction exec() de PHP. Comme l'entrée n'est ni assainie ni validée avant d'être transmise à l'interpréteur de commandes (shell), un attaquant peut ajouter des commandes système arbitraires à la commande pihole prévue. De plus, la commande étant exécutée avec les privilèges sudo, les commandes injectées s'exécuteront avec des privilèges élevés (probablement root). La version 6.0 corrige ce problème.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.