プラットフォーム
linux
コンポーネント
pi-hole
修正版
6.4.1
Pi-hole は、Linux ベースのネットワークレベル広告およびトラッカー ブロックアプリケーションです。バージョン 6.4 には、ロープライビレッジの pihole アカウントから root 権限でのコード実行を可能にするローカル特権昇格の脆弱性が存在します。この脆弱性は、/etc/pihole/versions 内の攻撃者制御コンテンツが root 権限で実行される Pi-hole スクリプトにソースとして使用されるシナリオで発生します。影響を受けるバージョンは 6.4–>= 6.4, < 6.4.1 であり、バージョン 6.4.1 で修正されています。
CVE-2026-33727 は Pi-hole のバージョン 6.4 に影響を与え、ローカルな特権昇格を可能にします。'pihole' アカウントは 'nologin' で構成されているため、直接的なインタラクティブなログインは防止されますが、この脆弱性により、Pi-hole コンポーネントが侵害された場合、root としてコードを実行できるようになります。これは、攻撃者がルートディレクトリに悪意のあるコンテンツを挿入し、'pihole' アカウントの特権を利用して実行することで、事後侵害のシナリオで特に懸念されます。CVSS スコアは 6.4 で、中程度のリスクを示しています。関連する KEV (Knowledge Entry Validation) がないため、脆弱性に関する情報が限られているか、開発中である可能性があります。
この脆弱性の悪用には、攻撃者がすでに Pi-hole コンポーネントを侵害している必要があります。'pihole' アカウントの 'nologin' 構成により、直接的な悪用は困難になりますが、不可能なわけではありません。たとえば、攻撃者は 'pihole' アカウントで実行されているスクリプトまたはサービスを侵害し、悪意のあるコードを挿入する可能性があります。このコードは、root 権限で実行されるため、攻撃者がシステムを制御できるようになる可能性があります。攻撃者が制御するコンテンツがルートディレクトリに存在することが、悪用における鍵となります。
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
CVSS ベクトル
主な軽減策は、Pi-hole をバージョン 6.4.1 以降に更新することです。このバージョンには、特権昇格の脆弱性に対する修正が含まれています。さらに、システムセキュリティ対策をレビューおよび強化することをお勧めします。これには、システムアクティビティの監視、他のオペレーティングシステムコンポーネントへのセキュリティパッチの適用、Pi-hole へのアクセスを制限するためのファイアウォールの実装が含まれます。Pi-hole のすべてのコンポーネントが最新の状態に保たれ、安全に構成されていることを確認することで、攻撃対象領域を最小限に抑えることが重要です。Pi-hole の構成の定期的な監査も良い習慣です。
Actualice Pi-hole a la versión 6.4.1 o posterior para mitigar la vulnerabilidad de escalada de privilegios. La actualización corrige la forma en que Pi-hole maneja el contenido en /etc/pihole/versions, evitando la ejecución de código no autorizado con privilegios de root.
脆弱性分析と重要アラートをメールでお届けします。
'nologin' とは、'pihole' アカウントが直接ログインするために使用できないが、その特権でプロセスを実行できることを意味します。
はい、強くお勧めします。バージョン 6.4.1 への更新により、脆弱性が修正され、将来の潜在的な攻撃が防止されます。
オペレーティングシステムが最新の状態であることを確認し、強力なパスワードを使用し、ファイアウォールを実装することを検討してください。
KEV (Knowledge Entry Validation) は、脆弱性に関する情報を検証するためのプロセスです。KEV がないことは、脆弱性が現実ではないことを意味するものではありませんが、情報が限られている可能性があります。
Web 管理インターフェースにアクセスするか、ターミナルでコマンド pihole -v を実行することで、Pi-hole のバージョンを確認できます。