Vulnerabilidad en Pi-Hole (CVE-2022-23513)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
23/12/2022
Última modificación:
11/04/2025
Descripción
Pi-Hole es un bloqueador de anuncios en toda la red a través de su propio hardware Linux, AdminLTE es un panel de Pi-hole para estadísticas y más. En caso de un ataque, el actor de la amenaza obtendrá la capacidad de realizar una consulta no autorizada para dominios bloqueados en el endpoint ""queryads"". En el caso de la aplicación, esta vulnerabilidad existe debido a una falta de validación en el código en la ruta del servidor raíz:<br />
`/admin/scripts/pi-hole/phpqueryads.php.` Los potenciales actores de amenazas pueden realizar una Búsqueda de consultas no autorizadas en listas de dominios bloqueados. Esto podría dar lugar a la divulgación de las listas negras personales de las víctimas.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:pi-hole:adminlte:*:*:*:*:*:*:*:* | 5.17 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/174460/AdminLTE-PiHole-Broken-Access-Control.html
- https://github.com/pi-hole/AdminLTE/releases/tag/v5.18
- https://github.com/pi-hole/AdminLTE/security/advisories/GHSA-6qh8-6rrj-7497
- http://packetstormsecurity.com/files/174460/AdminLTE-PiHole-Broken-Access-Control.html
- https://github.com/pi-hole/AdminLTE/releases/tag/v5.18
- https://github.com/pi-hole/AdminLTE/security/advisories/GHSA-6qh8-6rrj-7497