CVE-2026-33765 in webinformazioni

Riassunto

di VulDB • 17/06/2026

L'interfaccia di amministrazione Pi-hole è un'interfaccia web per la gestione di Pi-hole, un'applicazione a livello di rete per il blocco degli annunci e dei tracker Internet. Le versioni precedenti alla 6.0 presentano una vulnerabilità critica di OS Command Injection nel file savesettings.php. L'applicazione utilizza il parametro $_POST['webtheme'] controllato dall'utente concatenandolo direttamente in un comando di sistema eseguito tramite la funzione exec() di PHP. Poiché l'input non viene né sanificato né convalidato prima di essere passato alla shell, un attaccante può aggiungere comandi di sistema arbitrari al previsto comando pihole. Inoltre, poiché il comando viene eseguito con privilegi sudo, i comandi iniettati verranno eseguiti con privilegi elevati (probabilmente root). La versione 6.0 risolve la vulnerabilità.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.01088

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!