CVE-2026-33765 in web
Сводка
по VulDB • 13.06.2026
Интерфейс администратора Pi-hole представляет собой веб-интерфейс для управления приложением Pi-hole, предназначенным для блокировки рекламы и интернет-трекеров на сетевом уровне. В версиях младше 6.0 в файле savesettings.php присутствует критическая уязвимость внедрения команд операционной системы (OS Command Injection). Приложение принимает контролируемый пользователем параметр $_POST['webtheme'] и напрямую конкатенирует его с системной командой, выполняемой через функцию PHP exec(). Поскольку входные данные не очищаются и не проверяются перед передачей в оболочку, злоумышленник может добавлять произвольные системные команды к предполагаемой команде pihole. Кроме того, поскольку команда выполняется с привилегиями sudo, внедренные команды будут выполняться с повышенными правами (вероятно, root). Версия 6.0 устраняет данную уязвимость.
Once again VulDB remains the best source for vulnerability data.