W Pi-hole w wersjach do 3.3 istnieje podatność typu command injection w mechanizmie dodawania domen do allowlisty przez interfejs webowy. Uwierzytelniony atakujący może wykonać dowolne polecenia systemu operacyjnego z uprawnieniami usługi Pi-hole.
▸ Pokaż oryginał (EN)
An authenticated command injection vulnerability exists in Pi-hole versions up to 3.3. When adding a domain to the allowlist via the web interface, the domain parameter is not properly sanitized, allowing an attacker to append OS commands to the domain string. These commands are executed on the underlying operating system with the privileges of the Pi-hole service user. This behavior was present in the legacy AdminLTE interface and has since been patched in later versions.
Podczas dodawania domeny do allowlisty przez interfejs AdminLTE parametr domenowy nie jest prawidłowo walidowany ani oczyszczany. Atakujący może dołączyć do ciągu z domeną dodatkowe polecenia systemu operacyjnego (np. przy użyciu znaków specjalnych powłoki). Przekazany w ten sposób payload jest następnie przekazywany do wywołania systemowego i wykonywany z uprawnieniami użytkownika, na którym działa usługa Pi-hole.
Atakujący może wykonać dowolne polecenia na serwerze z uprawnieniami procesu Pi-hole, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych lub dalszego lateral movement w sieci.
Należy zaktualizować Pi-hole do wersji 4.0 lub nowszej, w której podatność została usunięta. Patch dostępny jest w repozytorium: https://github.com/pi-hole/web/releases/tag/v4.0
Pi-hole w wersjach do 3.3 (włącznie) korzystających z interfejsu AdminLTE
Dla tej podatności istnieje publicznie dostępny moduł exploit w ramach Metasploit Framework (unix/http/pihole_whitelist_exec.rb). Podatność dotyczy wyłącznie przestarzałego interfejsu AdminLTE i została naprawiona w wersji 4.0.
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XPi Hole
APPPi-Hole≤ 3.3
Powiązane podatności
Pi-hole Web v4.3.2 (aka AdminLTE) allows Remote Code Execution by privileged dashboard users via a crafted DHC...
Pi-hole before 6 allows unauthenticated admin/api.php?setTempUnit= calls to change the temperature units of th...
Pi-hole is a DNS sinkhole that protects devices from unwanted content without installing any client-side softw...
The Pi-hole is a DNS sinkhole that protects your devices from unwanted content without installing any client-s...
Pi-hole's Web interface provides a central location to manage a Pi-hole instance and review performance statis...