CVE-2026-33765 in web
要約
〜によって VulDB • 2026年06月01日
Pi-hole Admin Interfaceは、Pi-hole(ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーション)を管理するためのWebインターフェースです。バージョン6.0より前のバージョンには、savesettings.phpファイルに深刻なOSコマンドインジェクション脆弱性が存在します。アプリケーションは、ユーザーが制御可能な$_POST['webtheme']パラメータを受け取り、それをPHPのexec()関数を通じて実行されるシステムコマンドに直接連結します。入力値はシェルに渡される前にサニタイズも検証もされないため、攻撃者は意図されたpiholeコマンドに任意のシステムコマンドを付加できます。さらに、コマンドはsudo権限で実行されるため、インジェクションされたコマンドは昇格された権限(おそらくroot権限)で実行されます。バージョン6.0でこの問題は修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.