प्लेटफ़ॉर्म
linux
घटक
pi-hole
में ठीक किया गया
6.0.1
CVE-2026-35517 Pi-hole FTL इंजन में एक गंभीर रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावर को Pi-hole सिस्टम पर मनमाना कमांड निष्पादित करने की अनुमति देती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता Pi-hole के संस्करण 6.0.0 से 6.6 तक के संस्करणों को प्रभावित करती है। इस भेद्यता को संस्करण 6.6 में ठीक कर दिया गया है।
Pi-hole FTL (FTLDNS) में CVE-2026-35517 एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। संस्करण 6.0 से 6.6 से पहले, Pi-hole FTL इंजन में अपस्ट्रीम DNS सर्वर कॉन्फ़िगरेशन पैरामीटर (dns.upstreams) के भीतर यह भेद्यता मौजूद है। एक प्रमाणित हमलावर नईलाइन वर्णों के माध्यम से मनमाना dnsmasq कॉन्फ़िगरेशन निर्देशों को इंजेक्ट कर सकता है, जिससे अंततः अंतर्निहित सिस्टम पर कमांड निष्पादित हो सकते हैं। CVSS स्कोर 8.8 है, जो उच्च गंभीरता जोखिम का संकेत देता है। यह उन उपयोगकर्ताओं को प्रभावित करता है जो विज्ञापन और ट्रैकर्स को ब्लॉक करने के लिए Pi-hole पर निर्भर करते हैं, क्योंकि सफल शोषण से Pi-hole डिवाइस और संभावित रूप से पूरे नेटवर्क से समझौता किया जा सकता है। दुर्भावनापूर्ण कोड इंजेक्शन से डेटा चोरी, नेटवर्क कॉन्फ़िगरेशन संशोधन या डिवाइस पर पूर्ण नियंत्रण हो सकता है।
Pi-hole कॉन्फ़िगरेशन तक पहुंच रखने वाला प्रमाणित हमलावर इस भेद्यता का शोषण कर सकता है। यह वैध क्रेडेंशियल्स वाले दुर्भावनापूर्ण उपयोगकर्ता या पहले से ही उपयोगकर्ता खाते से समझौता किए गए हमलावर हो सकता है। शोषण में FTL कॉन्फ़िगरेशन में dns.upstreams फ़ील्ड के माध्यम से कमांड इंजेक्ट करना शामिल है। शोषण की जटिलता अपेक्षाकृत कम है और इसके लिए उन्नत तकनीकी कौशल की आवश्यकता नहीं होती है। शोषण का प्रभाव महत्वपूर्ण हो सकता है, जिससे हमलावर Pi-hole सिस्टम पर मनमाना कोड निष्पादित कर सकता है, जिससे संभावित रूप से पूरा नेटवर्क समझौता हो सकता है। संभावित प्रवेश बिंदुओं की पहचान करने और रक्षा को मजबूत करने के लिए सुरक्षा ऑडिट की सिफारिश की जाती है।
Organizations and individuals using Pi-hole as their DNS server, particularly those running versions 6.0.0 through 6.5.99, are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are especially vulnerable, as a compromised user account could potentially be leveraged to exploit the vulnerability.
• linux / server:
journalctl -u pihole-FTL -g "dnsmasq configuration"• linux / server:
ps aux | grep -i dnsmasq | grep -i "newline"• linux / server:
find /etc/pihole/dnsmasq.d/ -type f -print0 | xargs -0 grep -i "^\s*server=".*disclosure
एक्सप्लॉइट स्थिति
EPSS
0.23% (45% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को ठीक करने का तरीका Pi-hole FTL को संस्करण 6.6.0 या बाद के संस्करण में अपडेट करना है। यह अपडेट अपस्ट्रीम DNS सर्वर प्रविष्टियों को कैसे संसाधित किया जाता है, इसे ठीक करता है, जिससे दुर्भावनापूर्ण कमांड इंजेक्शन को रोका जा सकता है। शोषण के जोखिम को कम करने के लिए त्वरित अपडेट की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, Pi-hole वेब इंटरफ़ेस क्रेडेंशियल्स की सुरक्षा अनधिकृत पहुंच को रोकने के लिए महत्वपूर्ण है। Pi-hole लॉग की नियमित रूप से निगरानी करके संदिग्ध गतिविधि का पता लगाने और प्रतिक्रिया देने में मदद मिल सकती है। यदि तत्काल अपडेट संभव नहीं है, तो Pi-hole वेब इंटरफ़ेस एक्सेस को सुरक्षित, सीमित नेटवर्क तक सीमित करने की सिफारिश की जाती है।
Actualice Pi-hole a la versión 6.6 o posterior para mitigar la vulnerabilidad de ejecución remota de código. La actualización corrige la inyección de nuevas líneas en la configuración de servidores DNS ascendentes, previniendo la ejecución de comandos arbitrarios en el sistema.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Pi-hole एक ओपन-सोर्स विज्ञापन और ट्रैकर ब्लॉकर है जो DNS सर्वर और कंटेंट फ़िल्टर के रूप में कार्य करता है।
अपडेट Pi-hole वेब इंटरफ़ेस या कमांड लाइन के माध्यम से किए जाते हैं। विस्तृत निर्देशों के लिए Pi-hole के आधिकारिक दस्तावेज़ देखें।
CVSS स्कोर 8.8 भेद्यता के लिए 'उच्च' गंभीरता स्तर का संकेत देता है, जिसका अर्थ है कि शोषण का महत्वपूर्ण जोखिम है।
तुरंत Pi-hole वेब इंटरफ़ेस और किसी भी संबंधित खातों के पासवर्ड बदलें। सिस्टम और नेटवर्क का व्यापक सुरक्षा ऑडिट करें।
Pi-hole वेब इंटरफ़ेस एक्सेस को सुरक्षित, सीमित नेटवर्क तक सीमित करने से अस्थायी रूप से जोखिम को कम करने में मदद मिल सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।