CVE-2020-8816

Суть уязвимости

Привилегированный пользователь веб-интерфейса (Dashboard) Pi-hole может выполнить произвольный код на сервере, добавив специально сформированную статическую аренду (DHCP static lease) через уязвимую форму в админке. Это происходит из-за недостаточной проверки и санитизации вводимых данных.

Как исправить

Уязвимость устранена в версиях AdminLTE (веб-интерфейса) 4.3.3 и выше, а также в FTL 5.0 и выше. Необходимо обновить оба компонента.

1. Обновите Pi-hole полностью (рекомендуемый способ): bash sudo pihole -up Эта команда обновит и ядро Pi-hole (FTL), и веб-интерфейс (AdminLTE).

2. Проверьте версии после обновления: bash pihole version Убедитесь, что отображаются версии не ниже:

   • AdminLTE version is v4.3.3
   • FTL version is v5.0

Временное решение

Если немедленное обновление невозможно:

1. Ограничьте доступ к веб-интерфейсу. Настройте брандмауэр (например, ufw или iptables) так, чтобы доступ к порту веб-интерфейса (по умолчанию 80/http) был только с доверенных IP-адресов (например, из локальной сети). bash # Пример для ufw: разрешить доступ только с IP 192.168.1.100 sudo ufw allow from 192.168.1.100 to any port 80 proto tcp

2. Пересмотрите привилегии пользователей. Минимизируйте количество учетных записей с правами администратора (Admin) в веб-интерфейсе. Используйте роль Read-only для пользователей, которым не требуется вносить изменения.

3. Рассмотрите временное отключение веб-интерфейса, если он не критически важен для работы: bash sudo pihole disable # Для управления используйте только CLI: pihole -h