CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-44888

Critical
Published: Translated: NVD NIST

Summary

Pi.Alert to detektor intruzów WIFI / LAN z monitoringiem usług webowych. Przed 2026-05-07, punkt końcowy SaveConfigFile() zapisywał wartości konfiguracyjne dostarczane przez użytkownika bez walidacji, co pozwalało na wstrzyknięcie dowolnego kodu Pythona i uzyskanie nieautoryzowanego dostępu do systemu operacyjnego.

Risk Assessment

Atakujący mógł wykorzystać tę podatność do zdalnego wykonania kodu na poziomie systemu operacyjnego, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji, zwłaszcza w przypadku domyślnych instalacji, gdzie nie są wymagane żadne poświadczenia.

Recommendation

Zaleca się aktualizację Pi.Alert do wersji po 2026-05-07, aby usunąć tę podatność. Dodatkowo, warto wprowadzić walidację wartości konfiguracyjnych oraz zabezpieczyć dostęp do systemu.

Original NVD description (English source)

Pi.Alert is a WIFI / LAN intruder detector with web service monitoring. Prior to 2026-05-07, Pi.Alert's SaveConfigFile() endpoint writes user-supplied numeric config values (e.g., SMTP_PORT) directly into pialert.conf without validation. Since pialert.conf is loaded via Python's exec() every 3–5 minutes by the background cron process, an attacker can inject arbitrary Python code and achieve unauthenticated OS-level RCE. On default installations (PIALERT_WEB_PROTECTION = False), no credentials are required. This vulnerability is fixed in 2026-05-07.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS