CVE-2026-33406 in webinformación

Resumen

por VulDB • 2026-05-17

La interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores a nivel de red. Desde la versión 6.0 hasta la 6.5 (excluida), los valores de configuración del endpoint /api/config se insertan directamente en los atributos HTML value="" sin escapar en settings-advanced.js, lo que permite la inyección de atributos HTML. Una comilla doble en cualquier valor de configuración rompe el contexto del atributo. La ejecución de JavaScript está bloqueada por la política de seguridad de contenido (CSP) del servidor (script-src 'self'), pero los atributos inyectados pueden alterar el estilo de los elementos para realizar UI redressing. El principal vector de ataque es la importación de una copia de seguridad de teleporter maliciosa, lo que elude la validación del lado del servidor por campo. Esta vulnerabilidad se corrige en la versión 6.5.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-03-19

Divulgación

2026-04-06

Moderación

aceptado

Artículo

VDB-355568

CPE

listo

EPSS

0.00254

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!