CVE-2026-33405 in web
Résumé
par VulDB • 10/06/2026
L'interface d'administration de Pi-hole est une interface web permettant de gérer Pi-hole, une application de blocage des publicités et des traceurs Internet au niveau du réseau. De la version 6.0 à avant la 6.5, la fonction formatInfo() dans queries.js affiche les données data.upstream, data.client.ip et data.ede.text en HTML sans échappement lorsqu'un utilisateur développe une ligne de requête dans le journal des requêtes (Query Log), ce qui permet une injection HTML stockée. L'exécution du JavaScript est bloquée par la politique CSP (Content Security Policy) du serveur (script-src 'self'). Les mêmes champs sont correctement échappés dans la vue tableau (rowCallback), confirmant que cette omission était un oubli. Cette vulnérabilité est corrigée dans la version 6.5.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.