Исследователи обнаружили критическую уязвимость в популярном приложении для блокировки рекламы и отслеживания Pi-hole. Уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00762, а также получившая идентификатор CVE-2025-34087, связана с внедрением команд операционной системы (CWE-78). Проще говоря, злоумышленник может удалённо выполнить на целевой системе произвольные команды. Соответственно, производитель Pi-hole, LLC уже подтвердил проблему и выпустил исправление.
Детали уязвимости
Уязвимость затрагивает версии Pi-hole до 3.3. Согласно методологии оценки CVSS, её опасность оценивается как критическая. Например, базовая оценка по CVSS 3.1 достигает 9.9 баллов из 10 возможных. Такая высокая оценка обусловлена сочетанием факторов: для атаки не требуется взаимодействия с пользователем, а успешная эксплуатация позволяет злоумышленнику получить полный контроль над системой. Важно отметить, что в открытом доступе уже существует рабочий эксплойт, что значительно повышает риски для пользователей, не обновивших своё программное обеспечение.
Технически проблема классифицируется как "внедрение в команду операционной системы" (OS Command Injection). Она возникает из-за недостаточной проверки и очистки входных данных в веб-интерфейсе Pi-hole. Следовательно, атакующий, имеющий учётную запись с низкими привилегиями (PR:L в CVSS 3.0), может внедрить специально сформированные команды. После этого злоумышленник способен выполнить любой вредоносный код (malicious payload) на устройстве, где работает Pi-hole, что часто приводит к полной компрометации.
Угроза является особенно серьёзной, поскольку Pi-hole обычно разворачивается на устройствах, играющих ключевую роль в сетевой инфраструктуре, таких как Raspberry Pi. Таким образом, компрометация Pi-hole может служить точкой входа для дальнейших атак на всю домашнюю или корпоративную сеть. Злоумышленник может установить программы-вымогатели (ransomware), обеспечить своё постоянное присутствие (persistence) в системе или использовать ресурсы устройства для скрытых вычислений.
К счастью, способ устранения уязвимости прямолинеен и уже доступен. Производитель выпустил исправленную версию. Пользователям необходимо немедленно обновить Pi-hole до версии 4.0 или новее. Инструкции по обновлению и ссылка на страницу загрузки опубликованы на GitHub. Между тем, если немедленное обновление невозможно, рекомендуется временно ограничить доступ к веб-интерфейсу Pi-hole из внешних сетей и пересмотреть список пользователей, имеющих к нему доступ.
Этот случай подчёркивает важность регулярного обновления даже вспомогательного сетевого программного обеспечения. Pi-hole, будучи мощным инструментом для повышения конфиденциальности, сам стал источником риска из-за уязвимости в своём коде. Поэтому системным администраторам и опытным пользователям следует не только следить за выходящими обновлениями, но и регулярно проводить аудит безопасности своих сетевых служб. В конечном итоге, своевременная установка патчей остаётся самым эффективным методом защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-00762
- https://www.cve.org/CVERecord?id=CVE-2025-34087
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/unix/http/pihole_whitelist_exec.rb
- https://github.com/pi-hole/web/releases/tag/v4.0
- https://pulsesecurity.co.nz/advisories/pihole-v3.3-vulns
- https://vulncheck.com/advisories/pihole-adminlte-whitelist-rce
