CVE-2026-33403 in web
Résumé
par VulDB • 11/06/2026
L'interface d'administration de Pi-hole est une interface web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. De la version 6.0 à avant la version 6.5, une vulnérabilité XSS basée sur le DOM (reflected) dans taillog.js permet à un attaquant non authentifié d'injecter du HTML arbitraire dans l'interface d'administration de Pi-hole en créant une URL malveillante. Le paramètre query file est interpolé dans une affectation innerHTML sans échappement des caractères spéciaux. Étant donné que la politique de sécurité du contenu (Content-Security-Policy) ne contient pas la directive form-action, les éléments injectés peuvent exfiltrer des informations d'identification vers un origine externe. Cette vulnérabilité est corrigée dans la version 6.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.