CVE-2026-33406 in webinfo

Zusammenfassung

von VulDB • 25.05.2026

Die Pi-hole Admin-Oberfläche ist eine Weboberfläche zur Verwaltung von Pi-hole, einer Anwendung zum Blockieren von Werbung und Internet-Trackern auf Netzwerkebene. Von Version 6.0 bis vor 6.5 werden Konfigurationswerte vom /api/config-Endpunkt ohne Escaping direkt in HTML value=""-Attribute in settings-advanced.js eingefügt, was zu HTML-Attribut-Injection ermöglicht. Ein doppeltes Anführungszeichen in einem beliebigen Konfigurationswert bricht aus dem Attributkontext aus. Die JavaScript-Ausführung wird durch die CSP des Servers (script-src 'self') blockiert, doch injizierte Attribute können das Styling von Elementen für UI-Redressing (Benutzeroberflächen-Phishing) verändern. Der primäre Angriffsvektor ist der Import eines bösartigen Teleporter-Backups, das die serverseitige Validierung pro Feld umgeht. Diese Schwachstelle wurde in Version 6.5 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

19.03.2026

Veröffentlichung

06.04.2026

Moderieren

akzeptiert

Eintrag

VDB-355568

CPE

bereit

EPSS

0.00254

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!