Platform
linux
Component
pi-hole-ftl
Opgelost in
6.0.1
CVE-2026-35520 is a Remote Code Execution (RCE) vulnerability discovered in the Pi-hole FTL (FTLDNS) component. This flaw allows an authenticated attacker to inject malicious configuration directives, potentially leading to complete system compromise. The vulnerability affects versions 6.0.0 through 6.5 and has been resolved in version 6.6.0.
CVE-2026-35520 in Pi-hole FTL (FTLDNS) vertegenwoordigt een Remote Code Execution (RCE)-kwetsbaarheid via de DHCP lease time configuratieparameter (dhcp.leaseTime). Tussen versies 6.0 en versies vóór 6.6 kan een geauthenticeerde aanvaller willekeurige dnsmasq configuratiedirectieven injecteren met behulp van newline karakters, waardoor uiteindelijk commando's op het onderliggende systeem kunnen worden uitgevoerd. De impact is ernstig, aangezien een succesvolle aanvaller het Pi-hole apparaat volledig kan compromitteren en mogelijk toegang kan krijgen tot het netwerk waartoe het is verbonden. De CVSS ernstscore is 8.8, wat een kwetsbaarheid met een hoog risico aangeeft. Dit is vooral zorgwekkend omdat Pi-hole vaak wordt gebruikt als een beveiligingslaag in thuis- en bedrijfsnetwerken, en een compromis ervan aanzienlijke gevolgen kan hebben.
De kwetsbaarheid wordt uitgebuit door de dhcp.leaseTime-parameter in de FTL-configuratie te manipuleren. Een geauthenticeerde aanvaller kan willekeurige commando's in de dnsmasq-configuratie injecteren door newline karakters binnen de dhcp.leaseTime-waarde in te voegen. Deze commando's worden uitgevoerd wanneer dnsmasq de configuratie verwerkt. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om zich te authentiseren bij de FTL API, wat doorgaans geldige inloggegevens vereist. De complexiteit van de exploitatie is relatief laag zodra geauthenticeerde toegang is verkregen. De hoofdoorzaak van de kwetsbaarheid is het ontbreken van een goede invoervalidatie op de dhcp.leaseTime-parameter.
Organizations running Pi-hole with versions 6.0.0 through 6.5 are at risk. This includes home users, small businesses, and larger organizations utilizing Pi-hole for ad blocking and DNS filtering. Shared hosting environments where Pi-hole is installed are particularly vulnerable due to the potential for compromised user accounts to be leveraged for exploitation.
• linux / server:
journalctl -u pihole-FTL | grep dhcp.leaseTime• linux / server:
ps aux | grep -i dnsmasq• linux / server:
cat /etc/dnsmasq.conf | grep -i dhcp.leaseTimedisclosure
Exploit Status
EPSS
0.23% (45% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van Pi-hole FTL naar versie 6.6 of hoger. Deze versie bevat een fix die het injecteren van kwaadaardige dnsmasq configuratiedirectieven voorkomt. Als een onmiddellijke upgrade niet mogelijk is, beperk dan de toegang tot de FTL API tot vertrouwde gebruikers en controleer de Pi-hole logs op verdachte activiteiten. Zorg er bovendien voor dat de authenticatie voor de FTL API robuust is en sterke wachtwoorden gebruikt. De upgrade moet prioriteit krijgen, vooral in omgevingen waar Pi-hole fungeert als een kritische beveiligingscomponent van het netwerk. Controleer regelmatig uw FTL-versie om ervoor te zorgen dat deze up-to-date blijft met de nieuwste beveiligingspatches.
Actualice Pi-hole FTL a la versión 6.6 o superior para mitigar la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través del panel de control de Pi-hole o mediante la actualización manual del paquete FTLDNS.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Pi-hole FTL (FTLDNS) is de DNS-engine van Pi-hole, verantwoordelijk voor het oplossen van domeinnamen en het verstrekken van statistieken voor de Pi-hole webinterface.
U kunt uw FTL-versie controleren door toegang te krijgen tot de Pi-hole webinterface en naar 'Tools' -> 'Installation' te navigeren.
Als u niet onmiddellijk kunt upgraden, beperk dan de toegang tot de FTL API tot vertrouwde gebruikers en controleer de Pi-hole logs op verdachte activiteiten.
Nee, deze kwetsbaarheid betreft alleen Pi-hole FTL versies tussen 6.0 en versies vóór 6.6.
Er is geen specifieke tool om vast te stellen of u gecompromitteerd bent, maar het controleren van de Pi-hole logs op ongebruikelijke commando's of verdachte netwerkactiviteit kan helpen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.