PT-2020-13170 · Pi-Hole · Pi-Hole
Publicado
2020-07-30
·
Atualizado
2021-07-21
·
CVE-2020-12620
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Pi-hole versão 4.4
Descrição
A vulnerabilidade permite que um usuário com acesso de gravação ao arquivo /etc/pihole/dns-servers.conf eleve seus privilégios por meio de injeção de comando, utilizando metacaracteres de shell após um endereço IP.
Recomendações
Para o Pi-hole versão 4.4, considere restringir o acesso de gravação ao arquivo /etc/pihole/dns-servers.conf para evitar ataques de injeção de comando. Como solução temporária, monitore o arquivo em busca de alterações não autorizadas e limite o uso de metacaracteres de shell no arquivo até que um patch esteja disponível.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pi-Hole