V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Pi-holeПриложениеnvd,anchore_overrides

Ftldns

Уязвимости
15
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.02625

Распределение по критичности

Критический
0
Высокий
12
Средний
3
Низкий
0

Затронутые диапазоны версий

6.0–6.66.0–6.6.2< 6.6.1
Также сопоставлено как (исходные строки): ftldns,pi-hole,web_interface

Топ уязвимостей

CVE-2026-44693Pi-hole FTL является основным движком рекламы и блокировщика сетевого уровня Pi-hole. До версии 6.6.1 Pi-hole FTL содержит уязвимость гоночного состояния в подсистеме управления сеансами HTTP, введенную с перепихованием v6.0 встроенного веб-сервера на основе CivetWeb. Этот вопрос был исправлен в версии 6.6.1.
CVE-2026-35521FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость Remote Code Execution (RCE) в параметре конфигурации DHCP-хотов (dhcp.hosts). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35520FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость удалённого исполнения кода (RCE) в параметре конфигурации времени аренды DHCP (dhcp.leaseTime). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35519FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость удалённого выполнения кода (RCE) в параметре конфигурации записи DNS (dns.hostRecord). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35518FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость Удаленного Исполнения кода (RCE) в параметре конфигурации DNS CNAME записывает (dns.cnameRecords). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35517FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость удалённого исполнения кода (RCE) в параметре конфигурации DNS-серверов (dns.upstreams). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2021-29448Pi-hole - это Linux-приложение для блокировки рекламы и отслеживания интернет-активности на уровне сети. Stored XSS существует на административном портале Pi-hole, который может быть использован злоумышленником с сетевым доступом к DNS-серверу. Подробности об исправлениях см. в упомянутом совете по безопасности GitHub.
CVE-2026-39849Pi-hole FTL является основным двигателем рекламы и блокатора трекера на уровне сети Pi-hole. В версиях до 6.6.1 поле конфигурации 'dns.interface` в Pi-hole FTL принимало новые символы без проверки, что позволяло злоумышленнику вводить произвольные директивы в сгенерированный файл конфигурации dnsmasq. На установках без набора дискуссионных паролей (по умолчанию для многих развертываний) API конфигурации полностью доступен без учетных данных, что позволяет смежному злоумышленнику вводить полезную нагрузку, включать встроенный DHCP-сервер и достигать произвольного выполнения команд на хоста в следующий раз, когда любое устройство в сети запрашивает аренду DHCP. Впрыскиваемое значение сохраняется в /etc/pihole/pihole.toml и выживает в перезапусках. Строка в пути кода ограничивает общее поле интерфейса до 31 байт, но полезные нагрузки, такие как wlan0\ndhcp-script=/tmp/p, вписываются в это ограничение. Проверка конфигурации dnsmasq, введенная в FTL 6.6, проверяет только синтаксическую действительность, поэтому действительные директивы успешно вводятся через валидацию пропуска новой линии. Эта проблема исправлена в версии 6.6.1.
CVE-2026-4892Уязвимость на основе кучи за пределами записи в DHCPv6 реализации dnsmasq позволяет локальным злоумышленникам выполнять произвольный код с привилегиями root через созданный пакет DHCPv6.
CVE-2026-4890Уязвимость отказа в обслуживании (DoS) в проверке DNSSEC dnsmasq позволяет удаленным злоумышленникам вызывать отказ в обслуживании через созданный пакет DNS.
CVE-2026-5172Переполнение буфера в функции dnsmasq extract_addresses() позволяет злоумышленнику запускать кучу за пределами считывать и падать, используя исправленный ответ DNS, позволяя extract_name() продвигать указатель мимо конца записи.
CVE-2026-2291dnsmasqs extract_name() может быть использована, чтобы вызвать переполнение кучи буфера, позволяя злоумышленнику вводить ложные записи кэша DNS, что может привести к тому, что DNS-поиск перенаправит на IP-адрес, контролируемый злоумышленником, или вызвать DoS.
CVE-2026-35491FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6 Pi-hole FTL поддерживает функцию пароля CLI (webserver.api.cli_pw), которая создает сеансы API «CLI», предназначенные только для чтения для изменений конфигурации. В то время как /api/config правильно блокирует сеансы CLI от мутирующей конфигурации, /api/teleporter разрешил импорт Teleporter для сеансов CLI, что позволяет сеансу CLI перезаписать конфигурацию через архива Телепортера (обход авторизации). Эта уязвимость зафиксирована в 6.6.
CVE-2026-4893Уязвимость раскрытия информации в dnsmasq позволяет удаленным злоумышленникам обходить проверку источников через созданный DNS-пакет с информацией о клиентской подсети RFC 7871.
CVE-2026-4891Куча внеграничной уязвимости чтения в DNSSEC-версии dnssEC позволяет удаленным злоумышленникам вызывать отказ в обслуживании через созданный пакет DNS.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →