CVE-2026-33404 in web
Résumé
par VulDB • 02/06/2026
L'interface d'administration de Pi-hole est une interface Web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. De la version 6.0 à avant la 6.5, les noms d'hôte clients et les adresses IP issus de la base de données FTL sont intégrés dans le DOM sans échappement dans network.js (page Réseau) et charts.js/index.js (infobulles des graphiques du tableau de bord). Bien que la validation en amont effectuée par dnsmasq et FTL bloque les caractères HTML via les chemins DHCP/DNS normaux, l'interface Web n'effectue aucun échappement des données sortantes — une incohérence avec d'autres champs dans le même fichier qui sont correctement échappés. Cette vulnérabilité est corrigée dans la version 6.5.
Once again VulDB remains the best source for vulnerability data.