CVE-2026-35519Pi-hole FTL引擎在6.0至6.6之前的版本中存在严重的远程代码执行(RCE)漏洞。该漏洞源于DNS主机记录配置参数(dns.hostRecord)的输入验证不足。攻击者可以通过注入换行符字符,在配置文件中插入任意dnsmasq配置指令。由于Pi-hole FTL负责处理DNS解析和统计信息,这一缺陷允许经过身份验证的攻击者利用API接口进行恶意配置注入。一旦注入成功,攻击者即可在底层系统上执行任意命令,完全控制受影响的设备。官方已在6.6版本中修复了此问题,建议用户尽快升级以防范潜在攻击。
该漏洞的根源在于Pi-hole FTL引擎在处理DNS主机记录配置时,未能正确过滤或转义用户输入的换行符(\n)。在正常情况下,`dns.hostRecord`参数用于静态地将域名映射到IP地址。然而,由于缺乏严格的输入清洗,攻击者可以在该字段中插入换行符,从而突破单行配置的限制。这使得攻击者能够追加任意有效的dnsmasq配置指令。dnsmasq是一个功能强大的DNS转发器和DHCP服务器,支持通过配置文件执行特定操作。攻击者可以利用这一点,通过配置`dhcp-option`参数或利用`server`指令结合特定的Shell命令封装技术,最终触发命令执行。尽管攻击需要低权限认证(如管理员或API访问权限),但一旦获得访问权,利用此漏洞可绕过系统安全机制,以运行Pi-hole服务的用户权限(通常是root)执行系统命令,导致服务器被完全接管。