CVE-2026-33765 in web
Sumário
de VulDB • 02/06/2026
A interface de administração do Pi-hole é uma interface web para gerenciar o Pi-hole, um aplicativo de bloqueio de anúncios e rastreadores de internet em nível de rede. As versões anteriores à 6.0 possuem uma vulnerabilidade crítica de Injeção de Comando no Sistema Operacional (OS Command Injection) no arquivo savesettings.php. O aplicativo utiliza o parâmetro $_POST['webtheme'], controlado pelo usuário, e o concatena diretamente em um comando do sistema executado por meio da função exec() do PHP. Como a entrada não é sanitizada nem validada antes de ser passada ao shell, um atacante pode anexar comandos arbitrários do sistema ao comando pihole pretendido. Além disso, como o comando é executado com privilégios sudo, os comandos injetados serão executados com privilégios elevados (provavelmente root). A versão 6.0 corrige a vulnerabilidade.
If you want to get best quality of vulnerability data, you may have to visit VulDB.