Katalog CVE

CVE-2026-44888

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Pi.Alert to detektor intruzów WIFI / LAN z monitoringiem usług webowych. Przed 2026-05-07, punkt końcowy SaveConfigFile() zapisywał wartości konfiguracyjne dostarczane przez użytkownika bez walidacji, co pozwalało na wstrzyknięcie dowolnego kodu Pythona i uzyskanie nieautoryzowanego dostępu do systemu operacyjnego.

Ocena ryzyka

Atakujący mógł wykorzystać tę podatność do zdalnego wykonania kodu na poziomie systemu operacyjnego, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji, zwłaszcza w przypadku domyślnych instalacji, gdzie nie są wymagane żadne poświadczenia.

Rekomendacja

Zaleca się aktualizację Pi.Alert do wersji po 2026-05-07, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację wartości konfiguracyjnych oraz zabezpieczyć dostęp do systemu.

Oryginalny opis (angielski, źródło NVD)

Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. Prior to 2026-05-07, Pi.Alert's SaveConfigFile() endpoint writes user-supplied numeric config values (e.g., SMTP_PORT) directly into pialert.conf without validation. Since pialert.conf is loaded via Python's exec() every 3–5 minutes by the background cron process, an attacker can inject arbitrary Python code and achieve unauthenticated OS-level RCE. On default installations (PIALERT_WEB_PROTECTION = False), no credentials are required. This vulnerability is fixed in 2026-05-07.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS