Oxqnd

Pi-hole is a DNS sinkhole that protects devices from unwanted content without installing any client-side software. From 6.0 to before Core 6.4.2 and FTL 6.6.1, two shell scripts executed as root by systemd (pihole-FTL-prestart.sh and pihole-FTL-poststop.sh) read the files.pid path from this config without validation and use it in privileged file operations (install and rm -f). By writing an arbitrary path into files.pid, an attacker with pihole privilege can cause root to delete and then recreate any file on the system outside the ProtectSystem=full-restricted directories, gaining write access to it. On a default Pi-hole installation this yields local privilege escalation to root via SSH authorized keys manipulation. If /root/.ssh/authorized keys does not exist (default on fresh installs), only ExecStartPre is required. If the file exists, ExecStopPost deletes it first, and the same restart triggers both hooks in sequence. This vulnerability is fixed in Core 6.4.2 and FTL 6.6.1.

**Nome do Software Vulnerável e Versões Afetadas** Netty versões anteriores a 4.1.133.Final Netty versões anteriores a 4.2.13.Final **Descrição** A validação da linha de requisição pode ser ignorada quando um `DefaultHttpRequest` ou `DefaultFullHttpRequest` é criado e seu URI é posteriormente modificado usando a função `setUri()`. Embora os construtores rejeitem caracteres CRLF (Carriage Return Line Feed) e espaços em branco para evitar a corrupção da linha inicial, o `setUri()` não realiza essa validação. Consequentemente, o `HttpRequestEncoder` e o `RtspEncoder` escrevem o URI na linha de requisição literalmente. Se uma entrada controlada por um invasor for passada para `setUri()`, isso permite a injeção de CRLF e a inserção de requisições HTTP ou RTSP adicionais. Isso pode levar ao contrabando de requisições HTTP (HTTP request smuggling), dessincronização no lado HTTP e injeção de requisições no lado RTSP. **Recomendações** Atualize para a versão 4.1.133.Final ou posterior. Atualize para a versão 4.2.13.Final ou posterior. Como medida paliativa temporária, evite usar a função `setUri()` com entradas controladas por invasores.

Name of the Vulnerable Software and Affected Versions AIOHTTP versões anteriores a 3.13.4 Description O analisador C, usado por padrão na maioria das instalações, permitia bytes nulos e caracteres de controle dentro dos cabeçalhos de resposta. Um invasor poderia aproveitar isso para enviar valores de cabeçalho que são interpretados inesperadamente devido à presença de caracteres de controle. Por exemplo, `request.url.origin()` pode retornar um valor diferente do cabeçalho Host bruto, potencialmente levando a uma violação de segurança. Recommendations Atualize para a versão 3.13.4 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do NiceGUI anteriores a 3.0.0 **Descrição** O NiceGUI, um framework de UI baseado em Python, é suscetível a Cross-Site Scripting (XSS) quando desenvolvedores renderizam entrada do usuário não escapada no DOM usando `ui.html()`. O framework não aplicava sanitização de HTML ou JavaScript antes da versão 3.0.0, permitindo que atacantes executassem JavaScript arbitrário no navegador do usuário caso as aplicações combinassem diretamente componentes como `ui.input()` com `ui.html()` ou `ui.chat message` com conteúdo HTML sem o devido escapamento. O caminho de código vulnerável ocorre quando a entrada do usuário é renderizada literalmente no DOM da página via `innerHTML`. Uma prova de conceito demonstra que a injeção de um payload malicioso, como `<img src=x onerror=alert('XSS')>`, aciona um alerta JavaScript. O problema afeta aplicações que refletem diretamente a entrada do usuário via `ui.html()` ou `ui.chat message` no modo HTML, potencialmente levando à execução de código no lado do cliente, incluindo sequestro de sessão ou phishing. **Recomendações** Atualize para a versão 3.0.0 ou posterior do NiceGUI para resolver este problema.