V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-39849
ANC
Высокий

Pi-hole FTL является основным двигателем рекламы и блокатора трекера на уровне сети Pi-hole. В версиях до 6.6.1 поле конфигурации 'dns.inte…

CVSS
8.7
Высокий
EPSS
0.01
p46
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Pi-hole FTL является основным двигателем рекламы и блокатора трекера на уровне сети Pi-hole. В версиях до 6.6.1 поле конфигурации 'dns.interface` в Pi-hole FTL принимало новые символы без проверки, что позволяло злоумышленнику вводить произвольные директивы в сгенерированный файл конфигурации dnsmasq. На установках без набора дискуссионных паролей (по умолчанию для многих развертываний) API конфигурации полностью доступен без учетных данных, что позволяет смежному злоумышленнику вводить полезную нагрузку, включать встроенный DHCP-сервер и достигать произвольного выполнения команд на хоста в следующий раз, когда любое устройство в сети запрашивает аренду DHCP. Впрыскиваемое значение сохраняется в /etc/pihole/pihole.toml и выживает в перезапусках. Строка в пути кода ограничивает общее поле интерфейса до 31 байт, но полезные нагрузки, такие как wlan0\ndhcp-script=/tmp/p, вписываются в это ограничение. Проверка конфигурации dnsmasq, введенная в FTL 6.6, проверяет только синтаксическую действительность, поэтому действительные директивы успешно вводятся через валидацию пропуска новой линии. Эта проблема исправлена в версии 6.6.1.

Теги · CWE
CWE-93
CAPEC-15
CAPEC-81
Затронутые продукты
Ftldns
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: L
Низкие (L)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: H
Высокое (H)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: X
Not Defined
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.006 · p46
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
ftldns*Отслеживается