CVE-2026-33406 in webinformazioni

Riassunto

di VulDB • 15/06/2026

L'interfaccia di amministrazione di Pi-hole è un'interfaccia web per la gestione di Pi-hole, un'applicazione per il blocco di annunci e dei tracker a livello di rete. Dalla versione 6.0 fino alla versione 6.5 (esclusa), i valori di configurazione provenienti dall'endpoint /api/config vengono inseriti direttamente negli attributi HTML value="" senza essere sottoposti a escaping nel file settings-advanced.js, consentendo l'iniezione di attributi HTML. Una doppia virgoleta presente in qualsiasi valore di configurazione permette di uscire dal contesto dell'attributo. L'esecuzione di JavaScript è bloccata dalla CSP (Content Security Policy) del server (script-src 'self'), ma gli attributi iniettati possono alterare lo stile degli elementi per finalità di UI redressing. Il vettore di attacco principale consiste nell'importare un backup di teleporter malevolo, che aggira la validazione lato server per singolo campo. Questa vulnerabilità è stata risolta nella versione 6.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

19/03/2026

Divulgazione

06/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00254

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!