Plateforme
linux
Composant
pi-hole
Corrigé dans
6.0.1
La vulnérabilité CVE-2026-35517 affecte Pi-hole, un bloqueur de publicités réseau open source. Elle permet à un attaquant authentifié d'exécuter des commandes arbitraires sur le système sous-jacent en injectant des directives de configuration dnsmasq via le paramètre des serveurs DNS upstream dans le moteur FTL. Cette vulnérabilité concerne les versions de Pi-hole comprises entre 6.0.0 et 6.5 (excluant 6.6). Une correction est disponible dans la version 6.6.
La vulnérabilité CVE-2026-35517 dans Pi-hole FTL (FTLDNS) représente une exécution de code à distance (RCE). Entre les versions 6.0 et antérieures à 6.6, le moteur FTL de Pi-hole contient cette vulnérabilité dans le paramètre de configuration des serveurs DNS upstream (dns.upstreams). Un attaquant authentifié peut injecter des directives de configuration dnsmasq arbitraires via des caractères de nouvelle ligne, aboutissant finalement à l'exécution de commandes sur le système sous-jacent. Le score CVSS est de 8.8, indiquant un risque de haute sévérité. Cela affecte les utilisateurs qui dépendent de Pi-hole pour bloquer les publicités et les traqueurs, car une exploitation réussie pourrait compromettre l'appareil Pi-hole et potentiellement l'ensemble du réseau. L'injection de code malveillant pourrait entraîner le vol de données, la modification de la configuration du réseau ou un contrôle total de l'appareil.
Un attaquant authentifié disposant d'un accès à la configuration de Pi-hole peut exploiter cette vulnérabilité. Il pourrait s'agir d'un utilisateur malveillant disposant d'informations d'identification valides ou d'un attaquant qui a déjà compromis un compte utilisateur. L'exploitation consiste à injecter des commandes via le champ dns.upstreams dans la configuration FTL. La complexité de l'exploitation est relativement faible, ne nécessitant aucune compétence technique avancée. L'impact de l'exploitation peut être important, permettant à l'attaquant d'exécuter du code arbitraire sur le système Pi-hole, compromettant potentiellement l'ensemble du réseau. Un audit de sécurité est recommandé pour identifier les points d'entrée potentiels et renforcer les défenses.
Organizations and individuals using Pi-hole as their DNS server, particularly those running versions 6.0.0 through 6.5.99, are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are especially vulnerable, as a compromised user account could potentially be leveraged to exploit the vulnerability.
• linux / server:
journalctl -u pihole-FTL -g "dnsmasq configuration"• linux / server:
ps aux | grep -i dnsmasq | grep -i "newline"• linux / server:
find /etc/pihole/dnsmasq.d/ -type f -print0 | xargs -0 grep -i "^\s*server=".*disclosure
Statut de l'Exploit
EPSS
0.23% (percentile 45%)
CISA SSVC
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à jour Pi-hole FTL vers la version 6.6.0 ou ultérieure. Cette mise à jour corrige la façon dont les entrées de serveurs DNS upstream sont traitées, empêchant l'injection malveillante de commandes. Les mises à jour rapides sont fortement recommandées pour minimiser le risque d'exploitation. De plus, la protection des informations d'identification de l'interface web Pi-hole est essentielle pour empêcher l'accès non autorisé. Surveiller régulièrement les journaux Pi-hole à la recherche d'activités suspectes peut aider à détecter et à répondre aux attaques potentielles. Si une mise à jour immédiate n'est pas possible, il est conseillé de restreindre l'accès à l'interface web Pi-hole à un réseau sécurisé et limité.
Actualice Pi-hole a la versión 6.6 o posterior para mitigar la vulnerabilidad de ejecución remota de código. La actualización corrige la inyección de nuevas líneas en la configuración de servidores DNS ascendentes, previniendo la ejecución de comandos arbitrarios en el sistema.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Pi-hole est un bloqueur de publicités et de traqueurs open source qui fonctionne comme un serveur DNS et un filtre de contenu.
Les mises à jour sont effectuées via l'interface web de Pi-hole ou par la ligne de commande. Consultez la documentation officielle de Pi-hole pour obtenir des instructions détaillées.
Un score CVSS de 8.8 indique un niveau de sévérité 'Élevé' pour la vulnérabilité, signifiant un risque d'exploitation important.
Modifiez immédiatement les mots de passe de l'interface web Pi-hole et de tous les comptes associés. Effectuez un audit de sécurité complet du système et du réseau.
Restreindre l'accès à l'interface web Pi-hole à un réseau sécurisé et limité peut aider à réduire le risque temporairement.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.