CVE-2026-33765 in web
सारांश
द्वारा VulDB • 17/06/2026
Pi-hole Admin Interface एक वेब इंटरफ़ेस है जो Pi-hole को प्रबंधित करने के लिए उपयोग किया जाता है; यह नेटवर्क-स्तर पर विज्ञापन और इंटरनेट ट्रैकर ब्लॉकिंग एप्लिकेशन है। 6.0 से पहले की संस्करणों में savesettings.php फ़ाइल में एक गंभीर OS Command Injection (ऑपरेटिंग सिस्टम कमांड इनजेक्शन) दोष मौजूद है। एप्लिकेशन उपयोगकर्ता-नियंत्रित $_POST['webtheme'] पैरामीटर लेता है और इसे सीधे PHP के exec() फ़ंक्शन द्वारा निष्पादित किए जाने वाले सिस्टम कमांड में जोड़ देता है. चूंकि शेल को पारित करने से पहले इनपुट पर न तो सैनिटाइज़ेशन (शोधन) होता है और न ही वैलिडेशन, एक आक्रामक इच्छित pihole कमांड के साथ मनमाने सिस्टम कमांड्स जोड़ सकता है. इसके अलावा, चूंकि यह कमांड sudo विशेषाधिकारों के साथ निष्पादित होता है, इसलिए इनजेक्ट किए गए कमांड उच्च (संभावित रूप से root) विशेषाधिकारों के साथ चलेंगे। संस्करण 6.0 इस समस्या को ठीक करता है।
If you want to get the best quality for vulnerability data then you always have to consider VulDB.