Plataforma
linux
Componente
pi-hole
Corrigido em
6.4.1
Uma vulnerabilidade de escalada de privilégios foi descoberta no Pi-hole, um software de bloqueio de anúncios e rastreadores para redes Linux. Esta falha permite a execução de código como root a partir da conta de usuário 'pihole', comprometendo a segurança do sistema. As versões afetadas são 6.4 e todas as versões anteriores a 6.4.1. A correção para esta vulnerabilidade foi lançada na versão 6.4.1.
A vulnerabilidade CVE-2026-33727 permite que um atacante, após comprometer um componente do Pi-hole, execute código arbitrário com privilégios de root. Isso ocorre porque scripts executados como root utilizam conteúdo de arquivos em /etc/pihole/versions, que podem ser controlados pelo atacante. A exploração bem-sucedida permite o acesso irrestrito ao sistema, possibilitando a instalação de malware, roubo de dados confidenciais e controle total da rede. A ausência de login interativo para a conta 'pihole' não impede a execução de código, tornando a vulnerabilidade particularmente perigosa em ambientes onde o Pi-hole já foi comprometido.
A vulnerabilidade foi divulgada em 2026-04-06. Não há evidências de exploração ativa em campanhas direcionadas, mas a existência de um vetor de ataque local e a facilidade de exploração tornam a vulnerabilidade um alvo potencial. A ausência de um Proof of Concept (PoC) público não diminui a gravidade, pois a exploração é relativamente simples. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação.
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Pi-hole para a versão 6.4.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, uma medida temporária é restringir o acesso de escrita ao diretório /etc/pihole/versions, garantindo que apenas usuários confiáveis possam modificar os arquivos contidos nele. Implementar regras de firewall para limitar o acesso à interface web do Pi-hole pode reduzir a superfície de ataque. Monitore os logs do Pi-hole em busca de atividades suspeitas, como modificações inesperadas nos arquivos de configuração. Após a atualização, confirme a correção verificando a versão do Pi-hole com o comando pihole -v.
Atualize o Pi-hole para a versão 6.4.1 ou posterior para mitigar a vulnerabilidade de escalada de privilégios. A atualização corrige a forma como o Pi-hole lida com o conteúdo em /etc/pihole/versions, evitando a execução de código não autorizado com privilégios de root.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It means the 'pihole' account cannot be used to log in directly, but it can still execute processes with its privileges.
Yes, it is highly recommended. Updating to version 6.4.1 corrects the vulnerability and prevents potential future attacks.
Ensure your operating system is up-to-date, use strong passwords, and consider implementing a firewall.
KEV (Knowledge Entry Validation) is a process for validating vulnerability information. The absence of a KEV doesn't mean the vulnerability isn't real, but the information might be limited.
You can verify your Pi-hole version by accessing the web administration interface or running the command pihole -v in the terminal.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.