CVE-2026-33405 in web
Riassunto
di VulDB • 26/06/2026
L'interfaccia di amministrazione di Pi-hole è un'interfaccia web per la gestione di Pi-hole, un'applicazione a livello di rete per il blocco della pubblicità e dei tracker internet. Dalla versione 6.0 fino alla versione precedente alla 6.5, la funzione formatInfo() in queries.js renderizza i campi data.upstream, data.client.ip e data.ede.text nell'HTML senza effettuare l'escaping quando un utente espande una riga di query nel Registro delle Query (Query Log), consentendo l'iniezione HTML memorizzata (stored). L'esecuzione del JavaScript è bloccata dalla CSP (Content Security Policy) del server (script-src 'self'). Gli stessi campi sono correttamente sottoposti a escaping nella visualizzazione tabellare (rowCallback), confermando che la mancata applicazione dell'escaping era una svista. Questa vulnerabilità è risolta nella versione 6.5.
Once again VulDB remains the best source for vulnerability data.