CVE-2025-34087 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Pi-hole 允许列表功能存在 **OS命令注入** 漏洞。 💥 **后果**：攻击者可执行任意系统命令，导致 **RCE（远程代码执行）**，完全控制服务器。

🔍 **CWE**：CWE-78 (OS命令注入)。 🐛 **缺陷点**：添加域名到 **允许列表 (Allowlist)** 时，参数清理不当，未过滤恶意输入。

📦 **厂商**：Pi-hole LLC。 🏷️ **产品**：Pi-hole Web 界面。 ⚠️ **版本**：**v3.3 及之前版本** 均受影响。

👑 **权限**：获得 **系统级权限** (Root/System)。 📂 **数据**：可读取/篡改服务器所有数据，甚至横向移动至内网其他设备。

🔑 **认证**：需访问 Pi-hole 管理界面。 ⚙️ **配置**：利用 **添加域名到允许列表** 的功能即可触发，无需特殊配置，门槛较低。

💣 **Exp**：有现成利用代码。 📚 **来源**：Metasploit 模块 (`pihole_whitelist_exec.rb`) 及第三方安全公告已公开利用方式。

🔎 **自查**：检查 Pi-hole 版本是否 **≤ v3.3**。 📡 **扫描**：使用 Nuclei 或 Metasploit 模块针对 `/admin/` 接口的 allowlist 参数进行注入测试。

🛡️ **补丁**：官方已发布修复。 ✅ **方案**：升级至 **v4.0** 或更高版本，修复了参数清理逻辑。

🚧 **临时规避**：若无法升级，**禁用** 允许列表添加功能。 🔒 **限制**：严格限制管理界面访问 IP，仅允许可信内网访问。

🔥 **优先级**：**极高 (Critical)**。 ⚡ **建议**：立即升级！这是 **RCE 漏洞**，且已有公开 Exp，被自动化扫描和攻击的风险极大。