CVE-2026-33765 in web情報

要約

〜によって VulDB • 2026年06月01日

Pi-hole Admin Interfaceは、Pi-hole(ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーション)を管理するためのWebインターフェースです。バージョン6.0より前のバージョンには、savesettings.phpファイルに深刻なOSコマンドインジェクション脆弱性が存在します。アプリケーションは、ユーザーが制御可能な$_POST['webtheme']パラメータを受け取り、それをPHPのexec()関数を通じて実行されるシステムコマンドに直接連結します。入力値はシェルに渡される前にサニタイズも検証もされないため、攻撃者は意図されたpiholeコマンドに任意のシステムコマンドを付加できます。さらに、コマンドはsudo権限で実行されるため、インジェクションされたコマンドは昇格された権限(おそらくroot権限)で実行されます。バージョン6.0でこの問題は修正されています。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年03月23日

モデレーション

承諾済み

エントリ

VDB-353983

EPSS

0.01088

アクティビティ

非常低い

ソース

Do you need the next level of professionalism?

Upgrade your account now!