CRITICAL🇬🇧 English

CVE-2025-34087

Command Injection w Pi-hole do wersji 3.3 — nieautoryzowane wykonanie poleceń OS

CVSS 9.0v4.0pub. 2025-07-03upd. 2025-10-01

W Pi-hole w wersjach do 3.3 istnieje podatność typu command injection w mechanizmie dodawania domen do allowlisty przez interfejs webowy. Uwierzytelniony atakujący może wykonać dowolne polecenia systemu operacyjnego z uprawnieniami usługi Pi-hole.

Pokaż oryginał (EN)

An authenticated command injection vulnerability exists in Pi-hole versions up to 3.3. When adding a domain to the allowlist via the web interface, the domain parameter is not properly sanitized, allowing an attacker to append OS commands to the domain string. These commands are executed on the underlying operating system with the privileges of the Pi-hole service user. This behavior was present in the legacy AdminLTE interface and has since been patched in later versions.

🤖 Analiza AI
Jak działa

Podczas dodawania domeny do allowlisty przez interfejs AdminLTE parametr domenowy nie jest prawidłowo walidowany ani oczyszczany. Atakujący może dołączyć do ciągu z domeną dodatkowe polecenia systemu operacyjnego (np. przy użyciu znaków specjalnych powłoki). Przekazany w ten sposób payload jest następnie przekazywany do wywołania systemowego i wykonywany z uprawnieniami użytkownika, na którym działa usługa Pi-hole.

Skutki

Atakujący może wykonać dowolne polecenia na serwerze z uprawnieniami procesu Pi-hole, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych lub dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować Pi-hole do wersji 4.0 lub nowszej, w której podatność została usunięta. Patch dostępny jest w repozytorium: https://github.com/pi-hole/web/releases/tag/v4.0

Kogo dotyczy

Pi-hole w wersjach do 3.3 (włącznie) korzystających z interfejsu AdminLTE

Uwagi

Dla tej podatności istnieje publicznie dostępny moduł exploit w ramach Metasploit Framework (unix/http/pihole_whitelist_exec.rb). Podatność dotyczy wyłącznie przestarzałego interfejsu AdminLTE i została naprawiona w wersji 4.0.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Pi Hole

    APP
    Pi-Hole
    ≤ 3.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2020-8816HIGH7.2⚠ KEVten sam produkt

Pi-hole Web v4.3.2 (aka AdminLTE) allows Remote Code Execution by privileged dashboard users via a crafted DHC...

CVE-2024-44069HIGH7.5ten sam produkt

Pi-hole before 6 allows unauthenticated admin/api.php?setTempUnit= calls to change the temperature units of th...

CVE-2024-34361HIGH8.5ten sam produkt

Pi-hole is a DNS sinkhole that protects devices from unwanted content without installing any client-side softw...

CVE-2024-28247HIGH7.6ten sam produkt

The Pi-hole is a DNS sinkhole that protects your devices from unwanted content without installing any client-s...

CVE-2021-32706HIGH7.6ten sam produkt

Pi-hole's Web interface provides a central location to manage a Pi-hole instance and review performance statis...