概要
Pi-hole Admin Interface の v6.0 より 前 の バージョン に OS コマンドインジェクション の 脆弱性 が 存在 します。savesettings.php ファイル で $_POST['webtheme'] パラメータ が サニタイズ も バリデーション も されず に PHP の exec() 関数 に 直接 渡されます。コマンド は sudo 権限 で 実行 される ため、攻撃者 は root 権限 で 任意 の システムコマンド を 実行 できます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 不要 |
| ユーザー関与 | 不要 |
| CWE | CWE-78(OSコマンドインジェクション) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Pi-hole Admin Interface (web) | Pi-hole | < 6.0 |
修正バージョンと回避策
- 修正バージョン: v6.0 以降
- Pi-hole を ネットワーク に 公開 している 場合 は 早急 に アップデート してください
- アップデート が 困難 な 場合 は 管理画面 への アクセス を 信頼 できる IP に 制限 してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。