CVE-2026-44887
CriticalSummary
Pi.Alert to detektor intruzów WIFI / LAN z monitoringiem usług webowych. Przed 2026-05-07, edytor konfiguracji oparty na sieci web pozwalał na wstrzykiwanie dowolnego kodu Pythona do pliku pialert.conf, co umożliwiało jego wykonanie przez proces demona skanowania w tle.
Risk Assessment
Brak wymagań dotyczących uwierzytelnienia w domyślnej konfiguracji sprawia, że podatność ta prowadzi do zdalnego wykonania kodu, co może zagrażać bezpieczeństwu systemu i danych organizacji.
Recommendation
Zaleca się aktualizację Pi.Alert do wersji po 2026-05-07, aby usunąć tę podatność oraz włączenie ochrony webowej w celu zwiększenia bezpieczeństwa.
Original NVD description (English source)
Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. Prior to 2026-05-07, Pi.Alert's web-based configuration editor allows arbitrary Python code to be injected into pialert.conf. Since the background scan daemon loads this file via Python's exec(), injected code executes as the daemon process. With web protection disabled (the default configuration), no authentication is required, making this an unauthenticated Remote Code Execution vulnerability. This vulnerability is fixed in 2026-05-07.

