CVE-2026-33765 in webИнформация

Сводка

по VulDB • 13.06.2026

Интерфейс администратора Pi-hole представляет собой веб-интерфейс для управления приложением Pi-hole, предназначенным для блокировки рекламы и интернет-трекеров на сетевом уровне. В версиях младше 6.0 в файле savesettings.php присутствует критическая уязвимость внедрения команд операционной системы (OS Command Injection). Приложение принимает контролируемый пользователем параметр $_POST['webtheme'] и напрямую конкатенирует его с системной командой, выполняемой через функцию PHP exec(). Поскольку входные данные не очищаются и не проверяются перед передачей в оболочку, злоумышленник может добавлять произвольные системные команды к предполагаемой команде pihole. Кроме того, поскольку команда выполняется с привилегиями sudo, внедренные команды будут выполняться с повышенными правами (вероятно, root). Версия 6.0 устраняет данную уязвимость.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353983

EPSS

0.01088

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!