Pi-hole corrige seis vulnerabilidades, cuatro de ellas de riesgo alto

Fuentes: Werbeblocker Pi-hole: Update stopft hochriskante Sicherheitslücken

Los responsables del bloqueador de anuncios basado en DNS Pi-hole han publicado actualizaciones que cierran seis vulnerabilidades de seguridad, cuatro de ellas calificadas como de riesgo alto. Una de las fallas permitía a usuarios con permisos de ejecución como "pihole" escalar privilegios hasta root reemplazando el archivo "/etc/pihole/logrotate" (CVE-2026-50130, CVSS 8.8). El mecanismo de cierre de sesión era ineficaz, por lo que cualquier identificador de sesión administrativa emitido en el pasado mantenía acceso permanente (CVSS 8.8). También era posible lanzar ataques de denegación de servicio por la ausencia de limitación de tasa (CVE-2025-62165, CVSS 7.5). Combinando dos fallos en la herramienta Teleporter, usada para migrar instalaciones, administradores conectados podían ejecutar comandos arbitrarios en el servidor (CVSS 7.2). Las dos vulnerabilidades restantes permitían inyectar comandos como usuario "pihole" (CVSS 6.6) y manipular cabeceras de respuesta HTTP (CVSS 3.5). Las versiones Pi-hole-FTL v6.7, Pi-hole-Web v6.6 y Pi-hole-Core v6.4.3 corrigen los problemas. Para actualizar, los administradores deben ejecutar "sudo pihole -up" en un terminal. En mayo, el proyecto ya había parcheado fallos en el componente dnsmasq.