CVE-2026-33765 in web정보

요약

\~에 의해 VulDB • 2026. 06. 13.

Pi-hole Admin Interface는 Pi-hole(네트워크 수준의 광고 및 인터넷 추적기 차단 애플리케이션)을 관리하기 위한 웹 인터페이스입니다. 버전 6.0 미만의 버전에는 savesettings.php 파일에서 심각한 OS 명령어 삽입(OS Command Injection) 취약점이 존재합니다. 이 애플리케이션은 사용자가 제어할 수 있는 $_POST['webtheme'] 매개변수를 받아 PHP의 exec() 함수를 통해 실행되는 시스템 명령어에 직접 연결(concatenates)합니다. 입력값이 셸(shell)로 전달되기 전에 sanitization(정제/무해화)이나 validation(검증)되지 않으므로, 공격자는 의도된 pihole 명령어 뒤에 임의의 시스템 명령어를 추가할 수 있습니다. 또한 해당 명령어가 sudo 권한으로 실행되므로, 삽입된 명령어는 높은 권한(일반적으로 루트 권한)으로 실행됩니다. 버전 6.0에서 이 문제가 패치되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 03. 23.

모더레이션

수락

항목

VDB-353983

EPSS

0.01088

출처

Interested in the pricing of exploits?

See the underground prices here!