CVE-2026-33765 in webthông tin

Tóm tắt

Bởi VulDB • 17/06/2026

Giao diện quản trị Pi-hole là một giao diện web để quản lý ứng dụng chặn quảng cáo và trình theo dõi internet ở cấp độ mạng Pi-hole. Các phiên bản trước 6.0 có lỗ hổng Chèn lệnh hệ điều hành (OS Command Injection) nghiêm trọng trong tệp savesettings.php. Ứng dụng nhận tham số $_POST['webtheme'] do người dùng kiểm soát và nối trực tiếp nó vào một lệnh hệ thống được thực thi thông qua hàm exec() của PHP. Vì đầu vào không được làm sạch hay xác minh trước khi chuyển cho shell, kẻ tấn công có thể bổ sung các lệnh hệ thống tùy ý vào lệnh pihole dự định. Hơn nữa, vì lệnh được thực thi với đặc quyền sudo, các lệnh bị chèn sẽ chạy với đặc quyền nâng cao (có khả năng là root). Phiên bản 6.0 đã vá lỗ hổng này.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

23/03/2026

Tiết lộ

27/03/2026

Kiểm duyệt

được chấp nhận

EPSS

0.01088

KEV

không

Các hoạt động

rất thấp

Nguồn

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!