JVNDB-2026-015412

Pi-holeのFTLDNSにおけるCRLF インジェクションの脆弱性

Pi-hole FTLは、Pi-holeのネットワークレベル広告およびトラッカー遮断のコアエンジンです。バージョン6.6.1未満では、dns.interface設定フィールドが改行文字を検証せずに受け入れており、攻撃者が生成されるdnsmasq設定ファイルに任意の指令を注入できる問題がありました。管理者パスワードが設定されていない環境では設定APIが認証なしでアクセス可能であり、隣接する攻撃者がペイロードを注入、組み込みDHCPサーバーを有効化してネットワーク内の任意の機器がDHCPリースを要求した際にホスト上で任意のコマンドを実行可能でした。注入された値は/etc/pihole/pihole.tomlに永続化され、再起動後も残存します。インターフェースフィールドには最大31バイトの制限がありますが、改行を含むペイロードも送信できました。FTL 6.6で導入されたdnsmasqの設定検証は構文の妥当性のみをチェックし、改行を含む有効な指令は検証を通過します。この問題はバージョン6.6.1で修正されています。

Pi-hole

• FTLDNS 6.6

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Newline Injection → RCE via dnsmasq dhcp-script  Advisory  pi-hole/FTL  GitHub

1. CRLF インジェクション(CWE-93) [その他]

1. CVE-2026-39849

1. National Vulnerability Database (NVD) : CVE-2026-39849
2. 関連文書 : Release v6.6.1  pi-hole/FTL  GitHub
3. 関連文書 : Merge commit from fork  pi-hole/FTL@0c46e4e  GitHub

• [2026年05月14日]
    掲載