Pi-hole में एक लोकल प्रिविलेज एस्केलेशन (पोस्ट-कंप्रोमाइज, pihole -> root) है।

Pi-hole एक लिनक्स नेटवर्क-लेवल विज्ञापन और इंटरनेट ट्रैकर ब्लॉकिंग एप्लीकेशन है। संस्करण 6.4 में एक लोकल प्रिविलेज-एस्केलेशन भेद्यता है जो कम-विशेषाधिकार pihole खाते से रूट के रूप में कोड निष्पादन की अनुमति देती है। महत्वपूर्ण संदर्भ: pihole खाता nologin का उपयोग करता है, इसलिए यह प्रत्यक्ष इंटरैक्टिव-लॉगिन मुद्दा नहीं है। हालाँकि, nologin UID pihole के रूप में कोड को चलाने से नहीं रोकता है यदि कोई Pi-hole घटक समझौता किया जाता है। उस यथार्थवादी पोस्ट-कंप्रोमाइज परिदृश्य में, /etc/pihole/versions में हमलावर-नियंत्रित सामग्री को रूट-रन Pi-hole स्क्रिप्ट द्वारा सोर्स किया जाता है, जिससे रूट कोड निष्पादन होता है। यह भेद्यता 6.4.1 में ठीक हो गई है।