CVE-2026-33405 in webالمعلومات

الملخص

بحسب VulDB • 10/06/2026

واجهة إدارة Pi-hole هي واجهة ويب لإدارة تطبيق Pi-hole، وهو تطبيق لحجب الإعلانات وتتبع الإنترنت على مستوى الشبكة. من الإصدار 6.0 وحتى قبل الإصدار 6.5، تقوم الدالة formatInfo() في ملف queries.js بعرض بيانات data.upstream وdata.client.ip وdata.ede.text كـ HTML دون تهريب (escaping) عندما يقوم المستخدم بتوسيع صف استعلام في سجل الاستعلامات (Query Log)، مما يتيح حقن HTML مخزن (Stored HTML Injection). يتم حظر تنفيذ JavaScript بواسطة سياسة أمن المحتوى (CSP) الخاصة بالخادم (script-src 'self'). تتم معالجة التهريب بشكل صحيح لنفس الحقول في عرض الجدول (rowCallback)، مما يؤكد أن الإغفال كان نتيجة إهمال. تم إصلاح هذا الثغرة الأمنية في الإصدار 6.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

19/03/2026

إفشاء

06/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-355539

EPSS

0.00171

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!