CVE-2026-33405 in webinformation

Résumé

par VulDB • 10/06/2026

L'interface d'administration de Pi-hole est une interface web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. De la version 6.0 à avant la 6.5, la fonction formatInfo() dans queries.js affiche les données data.upstream, data.client.ip et data.ede.text en HTML sans échappement lorsqu'un utilisateur développe une ligne de requête dans le journal des requêtes (Query Log), ce qui permet une injection HTML stockée. L'exécution du JavaScript est bloquée par la politique CSP (Content Security Policy) du serveur (script-src 'self'). Les mêmes champs sont correctement échappés dans la vue tableau (rowCallback), confirmant que cette omission était un oubli. Cette vulnérabilité est corrigée dans la version 6.5.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

19/03/2026

Divulgation

06/04/2026

Modérer

accepté

Entrée

VDB-355539

CPE

prêt

EPSS

0.00171

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!