PT-2024-22362 · Pi-Hole · Pi-Hole
T0X1Cx
·
Publicado
2024-03-27
·
Atualizado
2025-10-10
·
CVE-2024-28247
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do Pihole anteriores à 5.18
Descrição
Foi descoberta uma vulnerabilidade no Pihole que permite que um usuário autenticado na plataforma leia arquivos internos do servidor de forma arbitrária; e, como o aplicativo é executado em segundo plano, a leitura dos arquivos é feita com privilégios de usuário. O problema reside na atualização por meio de arquivos locais. Ao atualizar a partir de um arquivo que contenha linhas fora do domínio, 5 dessas linhas são exibidas na tela; portanto, se você fornecer qualquer arquivo no servidor que contenha linhas fora do domínio, elas serão exibidas na tela.
Recomendações
Para versões do Pihole anteriores à 5.18, atualize para a versão 5.18 para corrigir a vulnerabilidade. Como solução temporária, considere restringir o acesso à funcionalidade de atualização por meio de arquivos locais para minimizar o risco de exploração. Evite usar o recurso
Adslists com URLs que comecem com “file*” até que o problema seja resolvido.Exploit
Correção
Improper Privilege Management
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pi-Hole