发布日期：2020-05-11
更新日期：2020-08-27

受影响系统：

Pi-hole Pi-hole <= 4.4

描述：

---

CVE(CAN) ID: CVE-2020-11108

Pi-hole是Pi-hole公司的一款网络级广告拦截应用程序。Gravity updater是使用在其中的一个自动更新插件。
Pi-hole 4.4及之前版本中的Gravity updater的gravity_DownloadBlocklistFromUrl存在任意文件上传漏洞。该漏洞源于gravity.sh的gravity_DownloadBlocklistFromUrl中的代码错误。经过认证的远程攻击者可利用该漏洞向Web目录中写入PHP文件执行代码。此外，攻击者可以将该漏洞与sudo规则结合，使www-data用户升级到root用户权限。



<**>

建议：

---

厂商补丁：

Pi-hole
-------
目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://pi-hole.net/

浏览次数：837
严重程度：0（网友投票）