PT-2020-13901 · Pi-Hole · Pi-Hole
Publicado
2020-07-30
·
Atualizado
2021-07-21
·
CVE-2020-14162
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Pi-Hole anteriores à 5.0
Descrição
Foi detectada uma falha pela qual o usuário local www-data possui privilégios sudo para executar o script pihole core como root sem senha. Isso poderia permitir que um invasor obtivesse acesso root por meio de metacaracteres de shell no comando setdns do script.
Recomendações
Para versões do Pi-Hole anteriores à 5.0, considere restringir os privilégios sudo do usuário www-data para impedir a execução do script pihole core como root sem senha, ou atualize para a versão 5.0 ou posterior para mitigar o risco de exploração. Como solução temporária, considere desativar o comando setdns no script pihole core até que um patch esteja disponível.
Exploit
Correção
Improper Privilege Management
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pi-Hole