平台
linux
组件
pi-hole-ftl
修复版本
6.0.1
CVE-2026-35520 影响 Pi-hole FTL (FTLDNS) 的 DHCP 租约时间配置参数。该漏洞允许经过身份验证的攻击者通过注入换行符,注入任意 dnsmasq 配置指令,最终在底层系统上实现命令执行。受影响的版本包括 6.0.0 到 6.6 之前的版本。该漏洞已在 6.6.0 版本中修复。
攻击者可以利用此 RCE 漏洞在 Pi-hole 服务器上执行任意命令。这可能导致服务器完全被控制,攻击者可以读取敏感数据、修改系统配置、安装恶意软件,甚至利用 Pi-hole 服务器作为跳板攻击内部网络。由于 Pi-hole 通常用于家庭和小型企业网络,因此该漏洞的潜在影响范围可能很大,可能导致数据泄露、服务中断和声誉损害。如果攻击者能够控制 DNS 服务器,他们可以进行 DNS 劫持,将用户重定向到恶意网站,从而窃取凭据或传播恶意软件。类似于其他 DNS 服务器配置漏洞,此漏洞的利用可能导致严重的后果。
CVE-2026-35520 已于 2026 年 4 月 7 日发布。目前,该漏洞的公开利用代码 (POC) 已知,这增加了被利用的风险。虽然目前没有已知的活跃利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用活动。该漏洞的 EPSS 评分为中等,表明存在中等概率的被利用。建议密切关注安全社区的最新信息,并及时采取缓解措施。
Organizations running Pi-hole with versions 6.0.0 through 6.5 are at risk. This includes home users, small businesses, and larger organizations utilizing Pi-hole for ad blocking and DNS filtering. Shared hosting environments where Pi-hole is installed are particularly vulnerable due to the potential for compromised user accounts to be leveraged for exploitation.
• linux / server:
journalctl -u pihole-FTL | grep dhcp.leaseTime• linux / server:
ps aux | grep -i dnsmasq• linux / server:
cat /etc/dnsmasq.conf | grep -i dhcp.leaseTimedisclosure
漏洞利用状态
EPSS
0.23% (45% 百分位)
CISA SSVC
最有效的缓解措施是立即升级到 Pi-hole FTL 6.6.0 或更高版本。如果由于兼容性问题无法立即升级,可以考虑以下临时缓解措施:首先,限制对 Pi-hole Web 界面 API 的访问,仅允许受信任的 IP 地址访问。其次,审查 Pi-hole 的 DHCP 配置,确保没有可疑的配置指令。第三,实施严格的网络监控,检测任何异常的 DNS 查询或配置更改。如果可能,使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止包含换行符的 DHCP 租约时间配置参数。升级后,请验证新版本是否已成功安装,并确认 DHCP 配置是否正常工作。
Actualice Pi-hole FTL a la versión 6.6 o superior para mitigar la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través del panel de control de Pi-hole o mediante la actualización manual del paquete FTLDNS.
漏洞分析和关键警报直接发送到您的邮箱。
这是一个影响 Pi-hole FTL 的远程代码执行漏洞,允许攻击者通过 DHCP 租约时间配置参数执行任意命令。
如果您的 Pi-hole FTL 版本在 6.0.0–>= 6.0, < 6.6 之间,则可能受到影响。
立即升级到 Pi-hole FTL 6.6.0 或更高版本。如果无法升级,请实施临时缓解措施,例如限制 API 访问和审查 DHCP 配置。
目前没有已知的活跃利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用活动。
您可以在 NVD 数据库 (https://nvd.nist.gov/) 和 Pi-hole 官方网站上找到更多信息。
CVSS 向量