CVE-2026-33765 in webजानकारी

सारांश

द्वारा VulDB • 17/06/2026

Pi-hole Admin Interface एक वेब इंटरफ़ेस है जो Pi-hole को प्रबंधित करने के लिए उपयोग किया जाता है; यह नेटवर्क-स्तर पर विज्ञापन और इंटरनेट ट्रैकर ब्लॉकिंग एप्लिकेशन है। 6.0 से पहले की संस्करणों में savesettings.php फ़ाइल में एक गंभीर OS Command Injection (ऑपरेटिंग सिस्टम कमांड इनजेक्शन) दोष मौजूद है। एप्लिकेशन उपयोगकर्ता-नियंत्रित $_POST['webtheme'] पैरामीटर लेता है और इसे सीधे PHP के exec() फ़ंक्शन द्वारा निष्पादित किए जाने वाले सिस्टम कमांड में जोड़ देता है. चूंकि शेल को पारित करने से पहले इनपुट पर न तो सैनिटाइज़ेशन (शोधन) होता है और न ही वैलिडेशन, एक आक्रामक इच्छित pihole कमांड के साथ मनमाने सिस्टम कमांड्स जोड़ सकता है. इसके अलावा, चूंकि यह कमांड sudo विशेषाधिकारों के साथ निष्पादित होता है, इसलिए इनजेक्ट किए गए कमांड उच्च (संभावित रूप से root) विशेषाधिकारों के साथ चलेंगे। संस्करण 6.0 इस समस्या को ठीक करता है।

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

जिम्मेदार

GitHub M

आरक्षित करना

23/03/2026

प्रकटीकरण

27/03/2026

प्रविष्टि

VDB-353983

EPSS

0.01088

गतिविधियाँ

बहुत कम

स्रोत

Do you need the next level of professionalism?

Upgrade your account now!