nvd,anchore_overrides,bdu
Pi-hole
Уязвимости
54
Эксплуатируемые
1
Критический
3
Высокий
28
Топ уязвимостей
BDU:2026-00762Уязвимость приложения для блокировки рекламы Pi-hole связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2023-01047Уязвимость приложение для блокировки рекламы Pi-hole существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
CVE-2025-34087Аутентифицированная инъекция команды существует в версиях Pi-hole до 3.3. При добавлении домена в разрешитель через веб-интерфейс параметр домена не дезинфицируется должным образом, что позволяет злоумышленнику добавлять команды ОС в строку домена. Эти команды выполняются в базовой операционной системе с привилегиями пользователя службы Pi-hole.
Такое поведение присутствовало в устаревшем интерфейсе AdminLTE и с тех пор было исправлено в более поздних версиях.
CVE-2026-33765Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. Версии до 6.0 имеют критическую уязвимость ОС в файле savesettings.php. Приложение берет параметр, контролируемый пользователем, $_POST['webtheme'] и конкатенирует его непосредственно в системную команду, выполняемую с помощью функции exec() PHP. Поскольку вход не продезинфицируется и не проверяется перед переходом в оболочку, злоумышленник может приложить произвольные системные команды к предполагаемой команде. Кроме того, поскольку команда выполняется с привилегиями sudo, введенные команды будут работать с повышенными (вероятными корневыми) привилегиями. Версия 6.0 исправляет проблему.
CVE-2026-44693Pi-hole FTL является основным движком рекламы и блокировщика сетевого уровня Pi-hole. До версии 6.6.1 Pi-hole FTL содержит уязвимость гоночного состояния в подсистеме управления сеансами HTTP, введенную с перепихованием v6.0 встроенного веб-сервера на основе CivetWeb. Этот вопрос был исправлен в версии 6.6.1.
CVE-2026-41489Pi-hole - это воронка DNS, которая защищает устройства от нежелательного контента без установки какого-либо программного обеспечения на стороне клиента. С 6.0 до Core 6.4.2 и FTL 6.6.1 два скрипта оболочки, выполненные в качестве корня по системам (pihole-FTL-prestart.sh и pihole-FTL-poststop.sh), читают путь files.pid из этой конфигурации без проверки и используют его в привилегированных файловых операциях (вводить и rm -f). Написав произвольный путь в file.pid, злоумышленник с привилегией пика может заставить root удалить, а затем воссоздать любой файл в системе за пределами каталогов ProtectSystem=full-ограниченный, получая доступ к нему. При установке Pi-отверстий по умолчанию это приводит к локальной эскалации привилегий, чтобы укорениться через манипулирование авторизованными ключами SSH. Если нет /root/.ssh/authorized_keys (по умолчанию на свежих установках), требуется только ExecStartPre. Если файл существует, ExecStopPst удаляет его первым, и один и тот же перезапуск запускает оба крючка в последовательности. Эта уязвимость исправлена в Core 6.4.2 и FTL 6.6.1.
CVE-2026-35521FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость Remote Code Execution (RCE) в параметре конфигурации DHCP-хотов (dhcp.hosts). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35520FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость удалённого исполнения кода (RCE) в параметре конфигурации времени аренды DHCP (dhcp.leaseTime). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35519FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость удалённого выполнения кода (RCE) в параметре конфигурации записи DNS (dns.hostRecord). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35518FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость Удаленного Исполнения кода (RCE) в параметре конфигурации DNS CNAME записывает (dns.cnameRecords). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2026-35517FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. С 6.0 до 6.6, движок Pi-hole FTL содержит уязвимость удалённого исполнения кода (RCE) в параметре конфигурации DNS-серверов (dns.upstreams). Эта уязвимость позволяет аутентифицированному злоумышленнику вводить произвольные директивы конфигурации dnsmasq через новые символы, что в конечном итоге достигает выполнения команды в базовой системе. Эта уязвимость зафиксирована в 6.6.
CVE-2024-34361Pi-hole — это поглотитель DNS, который защищает устройства от нежелательного контента без установки какого-либо клиентского программного обеспечения. Уязвимость в версиях до 5.18.3 позволяет аутентифицированному пользователю выполнять внутренние запросы к серверу через функцию `gravity_DownloadBlocklistFromUrl()`. В зависимости от некоторых обстоятельств, эта уязвимость может привести к удаленному выполнению команд. Версия 5.18.3 содержит исправление для этой проблемы.
CVE-2023-23614Веб-интерфейс Pi-hole® (на основе AdminLTE) предоставляет центральное расположение для управления вашим Pi-hole. Версии 4.0 и выше, до 5.18.3, уязвимы для недостаточного истечения срока действия сеанса. Неправильное использование хеша admin WEBPASSWORD в качестве значения cookie "Запомнить меня на 7 дней" позволяет злоумышленнику "передать хеш" для входа в систему или повторно использовать теоретически истекший срок действия cookie "запомнить меня". Он также раскрывает хеш в сети и без необходимости сохраняет его в браузере. Срок действия самого cookie истекает через 7 дней, но его значение останется действительным до тех пор, пока не изменится пароль администратора. Если cookie будет скомпрометирован, его можно будет использовать вечно, если не изменить пароль администратора. Злоумышленник, получивший хеш пароля через другой вектор атаки (например, уязвимость обхода пути), может использовать его для входа в систему от имени администратора, установив хеш в качестве значения cookie без необходимости взломать его для получения пароля администратора (передача хеша). Хеш раскрывается в сети и в браузере, где cookie передается и сохраняется. Эта проблема исправлена в версии 5.18.3.
CVE-2021-32706Веб-интерфейс Pi-hole предоставляет центральное место для управления экземпляром Pi-hole и просмотра статистики производительности. До версии 5.5.1 веб-интерфейса Pi-hole фильтр `validDomainWildcard` preg_match пропускает вредоносный символ, который можно использовать для выполнения кода, перечисления каталогов и перезаписи конфиденциальных файлов. Проблема заключается в том, что одна из точек не экранирована, что позволяет использовать любой символ вместо нее. Исправление для этой уязвимости было выпущено в версии 5.5.1.
CVE-2021-29448Pi-hole - это Linux-приложение для блокировки рекламы и отслеживания интернет-активности на уровне сети. Stored XSS существует на административном портале Pi-hole, который может быть использован злоумышленником с сетевым доступом к DNS-серверу. Подробности об исправлениях см. в упомянутом совете по безопасности GitHub.
CVE-2020-11108Обновление Gravity в Pi-hole до версии 4.4 позволяет аутентифицированному злоумышленнику загружать произвольные файлы. Это можно использовать для удаленного выполнения кода, записывая в PHP-файл в веб-каталоге. (Кроме того, это можно использовать в сочетании с правилом sudo для пользователя www-data для повышения привилегий до root.) Ошибка в коде находится в gravity_DownloadBlocklistFromUrl в gravity.sh.
CVE-2019-13051Pi-Hole 4.3 допускает внедрение команд.
BDU:2026-05390Уязвимость функции validate_stub() DNS-сервера FTLDNS (pihole-FTL) связана с непринятием мер по нейтрализации специальных элементов при обработке параметра dns.upstreams. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
CVE-2026-39849Pi-hole FTL является основным двигателем рекламы и блокатора трекера на уровне сети Pi-hole. В версиях до 6.6.1 поле конфигурации 'dns.interface` в Pi-hole FTL принимало новые символы без проверки, что позволяло злоумышленнику вводить произвольные директивы в сгенерированный файл конфигурации dnsmasq. На установках без набора дискуссионных паролей (по умолчанию для многих развертываний) API конфигурации полностью доступен без учетных данных, что позволяет смежному злоумышленнику вводить полезную нагрузку, включать встроенный DHCP-сервер и достигать произвольного выполнения команд на хоста в следующий раз, когда любое устройство в сети запрашивает аренду DHCP. Впрыскиваемое значение сохраняется в /etc/pihole/pihole.toml и выживает в перезапусках. Строка в пути кода ограничивает общее поле интерфейса до 31 байт, но полезные нагрузки, такие как wlan0\ndhcp-script=/tmp/p, вписываются в это ограничение. Проверка конфигурации dnsmasq, введенная в FTL 6.6, проверяет только синтаксическую действительность, поэтому действительные директивы успешно вводятся через валидацию пропуска новой линии. Эта проблема исправлена в версии 6.6.1.
CVE-2026-4892Уязвимость на основе кучи за пределами записи в DHCPv6 реализации dnsmasq позволяет локальным злоумышленникам выполнять произвольный код с привилегиями root через созданный пакет DHCPv6.
CVE-2025-59151Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для рекламы на сетевом уровне и блокировки интернет-трекера. IP-hole Admin Interface до 6.3 уязвим для инъекции Carriage Return Line Feed (CRLF). Когда запрашивается файл, заканчивающийся расширением .lp, приложение выполняет перенаправление без надлежащей дезинфекции входа. Агитатор может вводить обратное и линейное соответствие символов (%0d%0a) подачи, чтобы манипулировать как заголовками, так и содержанием ответа HTTP. Это позволяет инъекции произвольных заголовков HTTP-ответа, что потенциально приводит к фиксации сеанса, отравлению кэша и ослаблению или обходу механизмов безопасности на основе браузера, таких как Политика безопасности контента или X-XSS-Protection. Эта уязвимость зафиксирована в 6.3.
CVE-2021-29449Pi-hole - это Linux-приложение для блокировки рекламы и отслеживания интернет-активности на уровне сети. В версии 5.2.4 ядра Pi-hole было обнаружено несколько уязвимостей, связанных с повышением привилегий. Подробности см. в упомянутом совете по безопасности GitHub.
CVE-2020-14971Pi-hole до версии 5.0 допускает внедрение кода в piholedhcp (раздел Static DHCP Leases) путем изменения файлов резервных копий Teleporter и последующего их восстановления. Это происходит в settings.php. Чтобы использовать это, злоумышленник запросит резервную копию ограниченных файлов через teleporter.php. Они помещаются в архив .tar.gz. Затем злоумышленник изменяет параметр host в файлах dnsmasq.d, а затем сжимает и снова загружает эти файлы.
CVE-2020-14162Проблема обнаружена в Pi-Hole до версии 5.0. Локальный пользователь www-data имеет права sudo для выполнения основного скрипта pihole в качестве root без пароля, что может позволить злоумышленнику получить root-доступ через метасимволы оболочки к команде setdns этого скрипта.
CVE-2020-12620Pi-hole 4.4 позволяет пользователю, имеющему возможность записи в /etc/pihole/dns-servers.conf, повышать привилегии посредством внедрения команд (метасимволы оболочки после IP-адреса).