Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-00762

Опубликовано: 03 июл. 2025
Источник: fstec
CVSS3: 9.9
CVSS2: 9
EPSS Средний

Описание

Уязвимость приложения для блокировки рекламы Pi-hole связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Pi-hole, LLC

Наименование ПО

Pi-hole

Версия ПО

до 3.3 (Pi-hole)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)
Критический уровень опасности (оценка CVSS 4.0 составляет 9)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/pi-hole/web/releases/tag/v4.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 98%
0.46719
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-34087

CVSS3: 8.8
nvd
7 месяцев назад

An authenticated command injection vulnerability exists in Pi-hole versions up to 3.3. When adding a domain to the allowlist via the web interface, the domain parameter is not properly sanitized, allowing an attacker to append OS commands to the domain string. These commands are executed on the underlying operating system with the privileges of the Pi-hole service user. This behavior was present in the legacy AdminLTE interface and has since been patched in later versions.

github логотип

GHSA-j569-xm4x-j2qh

CVSS3: 8.8
github
7 месяцев назад

An authenticated command injection vulnerability exists in Pi-hole versions up to 3.3. When adding a domain to the allowlist via the web interface, the domain parameter is not properly sanitized, allowing an attacker to append OS commands to the domain string. These commands are executed on the underlying operating system with the privileges of the Pi-hole service user. This behavior was present in the legacy AdminLTE interface and has since been patched in later versions.

EPSS

Процентиль: 98%
0.46719
Средний

9.9 Critical

CVSS3

9 Critical

CVSS2