CVE-2026-39849

Nome do Software Vulnerável e Versões Afetadas Pi-hole FTL versões anteriores a 6.6.1

Descrição O campo de configuração dns.interface no Pi-hole FTL aceita caracteres de nova linha sem validação, o que permite que um invasor injete diretivas arbitrárias no arquivo de configuração do dnsmasq gerado. Em instalações onde nenhuma senha de administrador foi definida, a API de configuração está acessível sem credenciais. Isso permite que um invasor adjacente à rede injete um payload, ative o servidor DHCP integrado e execute comandos arbitrários no host quando um dispositivo na rede solicitar um lease de DHCP. O valor injetado é persistido em /etc/pihole/pihole.toml e permanece após reinicializações. Embora a função strncpy limite o campo de interface a 31 bytes, payloads como wlan0 dhcp-script=/tmp/p ainda podem ser inseridos. A validação de configuração do dnsmasq no FTL 6.6 verifica apenas a validade sintática, permitindo que diretivas injetadas válidas sejam aceitas.

Recomendações Atualizar para a versão 6.6.1.