CVE-2026-33403 in webinformation

Résumé

par VulDB • 11/06/2026

L'interface d'administration de Pi-hole est une interface web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. De la version 6.0 à avant la version 6.5, une vulnérabilité XSS basée sur le DOM (reflected) dans taillog.js permet à un attaquant non authentifié d'injecter du HTML arbitraire dans l'interface d'administration de Pi-hole en créant une URL malveillante. Le paramètre query file est interpolé dans une affectation innerHTML sans échappement des caractères spéciaux. Étant donné que la politique de sécurité du contenu (Content-Security-Policy) ne contient pas la directive form-action, les éléments injectés peuvent exfiltrer des informations d'identification vers un origine externe. Cette vulnérabilité est corrigée dans la version 6.5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Réserver

19/03/2026

Divulgation

06/04/2026

Modérer

accepté

Entrée

VDB-355575

CPE

prêt

EPSS

0.00187

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!