Pi-hole hat eine Local Privilege Escalation (post-compromise, pihole -> root).
Plattform
linux
Komponente
pi-hole
Behoben in
6.4.1
CVE-2026-33727 is a local privilege escalation vulnerability discovered in Pi-hole, a network-level advertisement and tracker blocking application. This flaw allows code execution as root from the low-privilege pihole account, even though the pihole account is configured with nologin. The vulnerability exists in versions 6.4 through 6.4 (excluding 6.4.1) and is resolved in version 6.4.1.
Auswirkungen und Angriffsszenarien
CVE-2026-33727 betrifft Pi-hole Version 6.4 und ermöglicht eine lokale Privilegieneskalation. Obwohl das Konto 'pihole' mit 'nologin' konfiguriert ist, was direkte interaktive Logins verhindert, erlaubt die Schwachstelle die Ausführung von Code als Root, wenn eine Pi-hole Komponente kompromittiert wird. Dies ist besonders besorgniserregend in Post-Compromise-Szenarien, in denen ein Angreifer bösartigen Inhalt in das Root-Verzeichnis injizieren könnte und die Ausführung mit den Privilegien des 'pihole'-Kontos ausnutzt. Der CVSS-Score beträgt 6.4, was ein moderates Risiko anzeigt. Es gibt keine zugehörige KEV (Knowledge Entry Validation), was darauf hindeutet, dass Informationen über die Schwachstelle begrenzt oder in der Entwicklung sind.
Ausnutzungskontext
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer bereits eine Pi-hole Komponente kompromittiert hat. Die 'nologin'-Konfiguration des 'pihole'-Kontos erschwert die direkte Ausnutzung, macht sie aber nicht unmöglich. Ein Angreifer könnte beispielsweise ein Skript oder einen Dienst kompromittieren, der unter dem 'pihole'-Konto ausgeführt wird, und bösartigen Code injizieren. Dieser Code, der mit Root-Privilegien ausgeführt wird, könnte es dem Angreifer ermöglichen, die Kontrolle über das System zu übernehmen. Das Vorhandensein von vom Angreifer kontrolliertem Inhalt im Root-Verzeichnis ist der Schlüssel zur Ausnutzung.
Bedrohungsanalyse
Exploit-Status
EPSS
0.01% (3% Perzentil)
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Lokal — Angreifer benötigt eine lokale Sitzung oder Shell auf dem System.
- Attack Complexity
- Hoch — erfordert eine Race-Condition, Nicht-Standard-Konfiguration oder spezifische Umstände.
- Privileges Required
- Hoch — Administrator- oder Privilegienkonto erforderlich.
- User Interaction
- Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
- Scope
- Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
- Confidentiality
- Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
- Integrity
- Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
- Availability
- Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
Die primäre Abschwächung ist die Aktualisierung von Pi-hole auf Version 6.4.1 oder höher. Diese Version enthält eine Korrektur für die Privilegieneskalationsschwachstelle. Darüber hinaus wird empfohlen, die Systemsicherheitsmaßnahmen zu überprüfen und zu verstärken, einschließlich der Überwachung der Systemaktivität, der Anwendung von Sicherheitspatches für andere Betriebssystemkomponenten und der Implementierung einer Firewall, um den Zugriff auf Pi-hole zu beschränken. Es ist entscheidend, sicherzustellen, dass alle Pi-hole Komponenten aktualisiert und sicher konfiguriert sind, um die Angriffsfläche zu minimieren. Regelmäßige Pi-hole Konfigurationsaudits sind ebenfalls eine gute Praxis.
So behebenwird übersetzt…
Actualice Pi-hole a la versión 6.4.1 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que Pi-hole maneja el contenido en /etc/pihole/versions, evitando la ejecución de código no autorizado con privilegios de root.
CVE-Sicherheitsnewsletter
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Häufig gestellte Fragen
Was ist CVE-2026-33727 — Privilege Escalation in Pi-hole?
Es bedeutet, dass das Konto 'pihole' nicht verwendet werden kann, um sich direkt anzumelden, aber dennoch Prozesse mit seinen Privilegien ausführen kann.
Bin ich von CVE-2026-33727 in Pi-hole betroffen?
Ja, es wird dringend empfohlen. Die Aktualisierung auf Version 6.4.1 behebt die Schwachstelle und verhindert potenzielle zukünftige Angriffe.
Wie behebe ich CVE-2026-33727 in Pi-hole?
Stellen Sie sicher, dass Ihr Betriebssystem auf dem neuesten Stand ist, verwenden Sie starke Passwörter und erwägen Sie die Implementierung einer Firewall.
Wird CVE-2026-33727 aktiv ausgenutzt?
KEV (Knowledge Entry Validation) ist ein Prozess zur Validierung von Informationen über Schwachstellen. Das Fehlen eines KEV bedeutet nicht, dass die Schwachstelle nicht real ist, aber die Informationen können begrenzt sein.
Wo finde ich den offiziellen Pi-hole-Hinweis für CVE-2026-33727?
Sie können Ihre Pi-hole Version überprüfen, indem Sie die Web-Administrationsschnittstelle aufrufen oder den Befehl pihole -v im Terminal ausführen.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.