FTLDNS (pihole-FTL) предоставляет интерактивный API, а также генерирует статистику для веб-интерфейса Pi-hole. Начиная с версии 6.0 до версии 6.6, механизм Pi-hole FTL содержит уязвимость удаленного выполнения кода (RCE) в параметре конфигурации хостов DHCP (dhcp.hosts). Эта уязвимость позволяет злоумышленнику, прошедшему проверку подлинности, внедрить произвольные директивы конфигурации dnsmasq с помощью символов новой строки, что в конечном итоге обеспечивает выполнение команды в базовой системе.
Эта уязвимость исправлена в версии 6.6.
Показать оригинальное описание (EN)
FTLDNS (pihole-FTL) provides an interactive API and also generates statistics for Pi-hole's Web interface. From 6.0 to before 6.6, the Pi-hole FTL engine contains a Remote Code Execution (RCE) vulnerability in the DHCP hosts configuration parameter (dhcp.hosts). This vulnerability allows an authenticated attacker to inject arbitrary dnsmasq configuration directives through newline characters, ultimately achieving command execution on the underlying system. This vulnerability is fixed in 6.6.
Характеристики атаки
Последствия
Строка CVSS v3.1