← volver
CVE-2020-8816

CVE-2020-8816

CVSS 9.1 CRITICALEPSS 77.8%● KEVCWE-78
En resumen

Pi-hole Web v4.3.2 permite que un administrador usando el panel ejecute código arbitrario en el servidor al crear una entrada de arrendamiento estático DHCP especialmente elaborada. Esto es crítico porque un administrador puede comprometer todo el sistema.

Detalle técnico

CWE-78 (Inyección de Comandos del SO) en Pi-hole Web v4.3.2 permite que usuarios autenticados en el panel ejecuten comandos arbitrarios del SO a través de entrada no sanitizada en la configuración de arrendamiento estático DHCP. La vulnerabilidad requiere privilegios administrativos para acceder al panel y crear parámetros de arrendamiento maliciosos que se pasan a comandos del sistema sin escapado apropiado.

Resumen generado y traducido por IA a partir de la descripción oficial.
Pi-hole Web v4.3.2 (aka AdminLTE) allows Remote Code Execution by privileged dashboard users via a crafted DHCP static lease.
CVSS:3.0/AC:L/AV:N/A:H/C:H/I:H/PR:H/S:C/UI:N
Productos afectados
n/a · n/a
PoCs públicas encontradas7
githubgithub.com/cybervaca/CVE-2020-881611githubgithub.com/AndreyRainchik/CVE-2020-881610githubgithub.com/team0se7en/CVE-2020-88166githubgithub.com/martinsohn/CVE-2020-88161cve_referencepacketstormsecurity.com/files/157861/Pi-Hole-4.3.2-DHCP-MAC-OS-Command-Execution.htmlno verificadocve_referencepacketstormsecurity.com/files/158737/Pi-hole-4.3.2-Remote-Code-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/48727no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/157861/Pi-Hole-4.3.2-DHCP-MAC-OS-Command-Execution.htmlhttp://packetstormsecurity.com/files/158737/Pi-hole-4.3.2-Remote-Code-Execution.htmlhttps://github.com/pi-hole/AdminLTE/commits/masterhttps://github.com/pi-hole/AdminLTE/pull/1165https://github.com/pi-hole/AdminLTE/releases/tag/v4.3.3https://natedotred.wordpress.com/2020/03/28/cve-2020-8816-pi-hole-remote-code-execution/https://twitter.com/Nate_Kappa/status/1243900213665902592?s=20https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-8816