Plattform
linux
Komponente
pi-hole
Behoben in
6.4.1
CVE-2026-33727 is a local privilege escalation vulnerability discovered in Pi-hole, a network-level advertisement and tracker blocking application. This flaw allows code execution as root from the low-privilege pihole account, even though the pihole account is configured with nologin. The vulnerability exists in versions 6.4 through 6.4 (excluding 6.4.1) and is resolved in version 6.4.1.
CVE-2026-33727 betrifft Pi-hole Version 6.4 und ermöglicht eine lokale Privilegieneskalation. Obwohl das Konto 'pihole' mit 'nologin' konfiguriert ist, was direkte interaktive Logins verhindert, erlaubt die Schwachstelle die Ausführung von Code als Root, wenn eine Pi-hole Komponente kompromittiert wird. Dies ist besonders besorgniserregend in Post-Compromise-Szenarien, in denen ein Angreifer bösartigen Inhalt in das Root-Verzeichnis injizieren könnte und die Ausführung mit den Privilegien des 'pihole'-Kontos ausnutzt. Der CVSS-Score beträgt 6.4, was ein moderates Risiko anzeigt. Es gibt keine zugehörige KEV (Knowledge Entry Validation), was darauf hindeutet, dass Informationen über die Schwachstelle begrenzt oder in der Entwicklung sind.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer bereits eine Pi-hole Komponente kompromittiert hat. Die 'nologin'-Konfiguration des 'pihole'-Kontos erschwert die direkte Ausnutzung, macht sie aber nicht unmöglich. Ein Angreifer könnte beispielsweise ein Skript oder einen Dienst kompromittieren, der unter dem 'pihole'-Konto ausgeführt wird, und bösartigen Code injizieren. Dieser Code, der mit Root-Privilegien ausgeführt wird, könnte es dem Angreifer ermöglichen, die Kontrolle über das System zu übernehmen. Das Vorhandensein von vom Angreifer kontrolliertem Inhalt im Root-Verzeichnis ist der Schlüssel zur Ausnutzung.
Exploit-Status
EPSS
0.01% (3% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung ist die Aktualisierung von Pi-hole auf Version 6.4.1 oder höher. Diese Version enthält eine Korrektur für die Privilegieneskalationsschwachstelle. Darüber hinaus wird empfohlen, die Systemsicherheitsmaßnahmen zu überprüfen und zu verstärken, einschließlich der Überwachung der Systemaktivität, der Anwendung von Sicherheitspatches für andere Betriebssystemkomponenten und der Implementierung einer Firewall, um den Zugriff auf Pi-hole zu beschränken. Es ist entscheidend, sicherzustellen, dass alle Pi-hole Komponenten aktualisiert und sicher konfiguriert sind, um die Angriffsfläche zu minimieren. Regelmäßige Pi-hole Konfigurationsaudits sind ebenfalls eine gute Praxis.
Actualice Pi-hole a la versión 6.4.1 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que Pi-hole maneja el contenido en /etc/pihole/versions, evitando la ejecución de código no autorizado con privilegios de root.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Es bedeutet, dass das Konto 'pihole' nicht verwendet werden kann, um sich direkt anzumelden, aber dennoch Prozesse mit seinen Privilegien ausführen kann.
Ja, es wird dringend empfohlen. Die Aktualisierung auf Version 6.4.1 behebt die Schwachstelle und verhindert potenzielle zukünftige Angriffe.
Stellen Sie sicher, dass Ihr Betriebssystem auf dem neuesten Stand ist, verwenden Sie starke Passwörter und erwägen Sie die Implementierung einer Firewall.
KEV (Knowledge Entry Validation) ist ein Prozess zur Validierung von Informationen über Schwachstellen. Das Fehlen eines KEV bedeutet nicht, dass die Schwachstelle nicht real ist, aber die Informationen können begrenzt sein.
Sie können Ihre Pi-hole Version überprüfen, indem Sie die Web-Administrationsschnittstelle aufrufen oder den Befehl pihole -v im Terminal ausführen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.