CVE-2026-33406 in web
Resumen
por VulDB • 2026-05-17
La interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores a nivel de red. Desde la versión 6.0 hasta la 6.5 (excluida), los valores de configuración del endpoint /api/config se insertan directamente en los atributos HTML value="" sin escapar en settings-advanced.js, lo que permite la inyección de atributos HTML. Una comilla doble en cualquier valor de configuración rompe el contexto del atributo. La ejecución de JavaScript está bloqueada por la política de seguridad de contenido (CSP) del servidor (script-src 'self'), pero los atributos inyectados pueden alterar el estilo de los elementos para realizar UI redressing. El principal vector de ataque es la importación de una copia de seguridad de teleporter maliciosa, lo que elude la validación del lado del servidor por campo. Esta vulnerabilidad se corrige en la versión 6.5.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.