プラットフォーム
linux
コンポーネント
pi-hole-ftl
修正版
6.0.1
CVE-2026-35520 is a Remote Code Execution (RCE) vulnerability discovered in the Pi-hole FTL (FTLDNS) component. This flaw allows an authenticated attacker to inject malicious configuration directives, potentially leading to complete system compromise. The vulnerability affects versions 6.0.0 through 6.5 and has been resolved in version 6.6.0.
Pi-hole FTL (FTLDNS) の CVE-2026-35520 は、DHCP リース時間設定パラメータ (dhcp.leaseTime) を介したリモートコード実行 (RCE) の脆弱性です。バージョン 6.0 から 6.6 以前のバージョンでは、認証された攻撃者が改行文字を使用して、任意の dnsmasq 設定ディレクティブを挿入し、最終的に基盤となるシステムでコマンドを実行できます。影響は深刻であり、攻撃が成功すると、Pi-hole デバイス全体が侵害され、接続されているネットワークにアクセスする可能性があります。CVSS 重症度スコアは 8.8 で、高リスクの脆弱性を示します。これは特に懸念されるため、Pi-hole は多くの場合、家庭用および企業ネットワークのセキュリティ層として使用されており、その侵害は重大な結果をもたらす可能性があります。
この脆弱性は、FTL 設定内の dhcp.leaseTime パラメータを操作することで悪用されます。認証された攻撃者は、dhcp.leaseTime 値内に改行文字を挿入することで、dnsmasq 設定に任意のコマンドを挿入できます。これらのコマンドは、dnsmasq が設定を処理するときに実行されます。エクスプロイトの成功は、攻撃者が FTL API に認証できるかに依存します。通常、有効な資格情報が必要です。認証されたアクセスが得られた後のエクスプロイトの複雑さは比較的低いです。この脆弱性の根本原因は、dhcp.leaseTime パラメータの入力検証が不十分であることです。
Organizations running Pi-hole with versions 6.0.0 through 6.5 are at risk. This includes home users, small businesses, and larger organizations utilizing Pi-hole for ad blocking and DNS filtering. Shared hosting environments where Pi-hole is installed are particularly vulnerable due to the potential for compromised user accounts to be leveraged for exploitation.
• linux / server:
journalctl -u pihole-FTL | grep dhcp.leaseTime• linux / server:
ps aux | grep -i dnsmasq• linux / server:
cat /etc/dnsmasq.conf | grep -i dhcp.leaseTimedisclosure
エクスプロイト状況
EPSS
0.23% (45% パーセンタイル)
CISA SSVC
主な軽減策は、Pi-hole FTL をバージョン 6.6 以降にアップグレードすることです。このバージョンには、悪意のある dnsmasq 設定ディレクティブの挿入を防ぐ修正が含まれています。直ちにアップグレードできない場合は、FTL API へのアクセスを信頼できるユーザーのみに制限し、Pi-hole ログを不審なアクティビティがないか監視してください。さらに、FTL API の認証が堅牢であり、強力なパスワードを使用していることを確認してください。アップグレードは、Pi-hole がネットワークの重要なセキュリティコンポーネントとして機能する環境では、優先事項として考慮する必要があります。最新のセキュリティパッチで FTL バージョンを定期的に確認してください。
Actualice Pi-hole FTL a la versión 6.6 o superior para mitigar la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través del panel de control de Pi-hole o mediante la actualización manual del paquete FTLDNS.
脆弱性分析と重要アラートをメールでお届けします。
Pi-hole FTL (FTLDNS) は、Pi-hole の DNS エンジンであり、ドメイン名を解決し、Pi-hole の Web インターフェースの統計情報を収集する役割を担っています。
Pi-hole Web インターフェースにアクセスし、「ツール」->「インストール」に移動することで、FTL のバージョンを確認できます。
すぐにアップグレードできない場合は、FTL API へのアクセスを信頼できるユーザーのみに制限し、Pi-hole ログを不審なアクティビティがないか監視してください。
いいえ、この脆弱性はバージョン 6.0 から 6.6 以前の Pi-hole FTL バージョンにのみ影響します。
侵害されているかどうかを検出する特定のツールはありませんが、Pi-hole ログを不審なコマンドや疑わしいネットワークアクティビティがないか監視することで、役立つ場合があります。
CVSS ベクトル