CVE-2026-33405 in web
Resumen
por VulDB • 2026-06-10
La interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación a nivel de red que bloquea anuncios y rastreadores de Internet. Desde la versión 6.0 hasta antes de la 6.5, la función formatInfo() en queries.js renderiza los datos data.upstream, data.client.ip y data.ede.text como HTML sin escaparlos cuando un usuario expande una fila de consulta en el Registro de consultas (Query Log), lo que permite inyección almacenada de HTML. La ejecución de JavaScript está bloqueada por la Política de Seguridad de Contenidos (CSP) del servidor (script-src 'self'). Los mismos campos se escapan correctamente en la vista de tabla (rowCallback), confirmando que esta omisión fue un descuido. Esta vulnerabilidad se corrige en la versión 6.5.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.