CVE-2026-33405 in webinformazioni

Riassunto

di VulDB • 26/06/2026

L'interfaccia di amministrazione di Pi-hole è un'interfaccia web per la gestione di Pi-hole, un'applicazione a livello di rete per il blocco della pubblicità e dei tracker internet. Dalla versione 6.0 fino alla versione precedente alla 6.5, la funzione formatInfo() in queries.js renderizza i campi data.upstream, data.client.ip e data.ede.text nell'HTML senza effettuare l'escaping quando un utente espande una riga di query nel Registro delle Query (Query Log), consentendo l'iniezione HTML memorizzata (stored). L'esecuzione del JavaScript è bloccata dalla CSP (Content Security Policy) del server (script-src 'self'). Gli stessi campi sono correttamente sottoposti a escaping nella visualizzazione tabellare (rowCallback), confermando che la mancata applicazione dell'escaping era una svista. Questa vulnerabilità è risolta nella versione 6.5.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

19/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00171

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!