Os programadores do bloqueador de anúncios Pi-hole baseado em DNS lançaram um pacote atualizado no fim de semana. Eles fecham duas lacunas de segurança consideradas de alto risco.
Leia mais depois do anúncio
A atualização se aplica aos componentes Pi-hole Core e FTL (Fast-Than-Light, Pi-hole DNS server). A vulnerabilidade afeta ambos os componentes e permite que um invasor aumente privilégios em um sistema vulnerável. O programador explica que os usuários do Pi-hole têm acesso de gravação ao arquivo de configuração central “/etc/pihole/pihole.toml”. Dois scripts de shell leem o caminho para o arquivo “file-pid” e o usam para instalação e remoção sem verificações adicionais – e são executados como root (“pihole-FTL-prestart.sh” e “pihole-FTL-poststop.sh”). Isso permite que um invasor com privilégios Pi-hole exclua e crie arquivos com privilégios de root, mesmo fora de diretórios protegidos. Um exemplo é dado no comunicado, que obteve direitos de root local manipulando o arquivo de chave válido para SSH (CVE-2026-41489, CVSS 8.8risco”esse“).
Filtragem insuficiente no campo de configuração dns.interface em Pi-hole FTL faz com que caracteres de nova linha sejam aceitos. Um invasor pode injetar diretivas arbitrárias na configuração do dnsmasq. Uma configuração abrangente sem senha de administrador permite acesso à API sem credenciais. Um ator mal-intencionado pode injetar a diretiva “dhcp-script =” e ativar o DHCP. Se um dispositivo na rede solicitar uma concessão de DHCP, comandos arbitrários poderão ser executados (CVE-2026-39849, CVSS 8.7risco”esse“).
O software é vulnerável
Pi-hole Core e Pi-hole FTL da versão 6.0 são vulneráveis. Atualizações para novas versões do Pi-hole Core 6.4.2 e Pi-hole FTL 6.6.1 ou posterior corrigem bugs relacionados à segurança. O comando é executado no Raspberry Pi, onde o software está por padrão sudo pihole -up resultando em atualizações de bloqueio de anúncios.
O último projeto Pi-hole eliminou brechas de segurança no início de abril. Entre outras coisas, eles permitem que invasores contrabandeiem códigos maliciosos.
(dmk)
