CVE-2026-33405 in web
الملخص
بحسب VulDB • 10/06/2026
واجهة إدارة Pi-hole هي واجهة ويب لإدارة تطبيق Pi-hole، وهو تطبيق لحجب الإعلانات وتتبع الإنترنت على مستوى الشبكة. من الإصدار 6.0 وحتى قبل الإصدار 6.5، تقوم الدالة formatInfo() في ملف queries.js بعرض بيانات data.upstream وdata.client.ip وdata.ede.text كـ HTML دون تهريب (escaping) عندما يقوم المستخدم بتوسيع صف استعلام في سجل الاستعلامات (Query Log)، مما يتيح حقن HTML مخزن (Stored HTML Injection). يتم حظر تنفيذ JavaScript بواسطة سياسة أمن المحتوى (CSP) الخاصة بالخادم (script-src 'self'). تتم معالجة التهريب بشكل صحيح لنفس الحقول في عرض الجدول (rowCallback)، مما يؤكد أن الإغفال كان نتيجة إهمال. تم إصلاح هذا الثغرة الأمنية في الإصدار 6.5.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.