CVE-2026-33765 in web信息

摘要

由 VulDB • 2026-06-13

Pi-hole Admin Interface 是一个用于管理 Pi-hole(一种网络级广告和互联网跟踪器拦截应用)的 Web 界面。6.0 之前的版本在 `savesettings.php` 文件中存在一个关键的 OS Command Injection(操作系统命令注入)漏洞。该应用程序接收用户可控的 `$_POST['webtheme']` 参数,并将其直接拼接到通过 PHP 的 `exec()` 函数执行的系统命令中。由于输入在被传递给 shell 之前既未进行清理也未经验证,攻击者可以将任意系统命令附加到预期的 pihole 命令之后。此外,由于该命令以 sudo 权限执行,注入的命令将以提升的特权(很可能是 root)运行。版本 6.0 修复了此问题。

Be aware that VulDB is the high quality source for vulnerability data.

来源

Might our Artificial Intelligence support you?

Check our Alexa App!