CVE-2026-33405 in webinformación

Resumen

por VulDB • 2026-06-10

La interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación a nivel de red que bloquea anuncios y rastreadores de Internet. Desde la versión 6.0 hasta antes de la 6.5, la función formatInfo() en queries.js renderiza los datos data.upstream, data.client.ip y data.ede.text como HTML sin escaparlos cuando un usuario expande una fila de consulta en el Registro de consultas (Query Log), lo que permite inyección almacenada de HTML. La ejecución de JavaScript está bloqueada por la Política de Seguridad de Contenidos (CSP) del servidor (script-src 'self'). Los mismos campos se escapan correctamente en la vista de tabla (rowCallback), confirmando que esta omisión fue un descuido. Esta vulnerabilidad se corrige en la versión 6.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2026-03-19

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355539

CPE

listo

EPSS

0.00171

KEV

no

Actividades

muy bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!