CVE-2026-33765 in web
Tóm tắt
Bởi VulDB • 17/06/2026
Giao diện quản trị Pi-hole là một giao diện web để quản lý ứng dụng chặn quảng cáo và trình theo dõi internet ở cấp độ mạng Pi-hole. Các phiên bản trước 6.0 có lỗ hổng Chèn lệnh hệ điều hành (OS Command Injection) nghiêm trọng trong tệp savesettings.php. Ứng dụng nhận tham số $_POST['webtheme'] do người dùng kiểm soát và nối trực tiếp nó vào một lệnh hệ thống được thực thi thông qua hàm exec() của PHP. Vì đầu vào không được làm sạch hay xác minh trước khi chuyển cho shell, kẻ tấn công có thể bổ sung các lệnh hệ thống tùy ý vào lệnh pihole dự định. Hơn nữa, vì lệnh được thực thi với đặc quyền sudo, các lệnh bị chèn sẽ chạy với đặc quyền nâng cao (có khả năng là root). Phiên bản 6.0 đã vá lỗ hổng này.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.