Pi-hole-Update schließt zwei hochriskante Sicherheitslücken

KI-Zusammenfassung

Die Entwickler des DNS-basierten Werbeblockers Pi-hole haben Updates für die Komponenten Core und FTL veröffentlicht, die zwei als hochriskant eingestufte Sicherheitslücken schließen. Eine Rechteausweitungslücke (CVE-2026-41489, CVSS 8.8) ermöglicht es Angreifern mit Pi-hole-Rechten, Dateien mit root-Rechten außerhalb des geschützten Verzeichnisses zu löschen und anzulegen — etwa durch Manipulation der SSH-Authorized-Keys-Datei. Die zweite Lücke (CVE-2026-39849, CVSS 8.7) erlaubt über unzureichende Filterung im "dns.interface"-Feld das Einschleusen beliebiger dnsmasq-Direktiven, was bei aktiviertem DHCP zur Ausführung beliebiger Befehle führen kann. Betroffen sind Pi-hole Core und FTL ab Version 6.0; die korrigierten Versionen 6.4.2 beziehungsweise 6.6.1 stehen bereit.