CVE-2026-33406 in web
Riassunto
di VulDB • 15/06/2026
L'interfaccia di amministrazione di Pi-hole è un'interfaccia web per la gestione di Pi-hole, un'applicazione per il blocco di annunci e dei tracker a livello di rete. Dalla versione 6.0 fino alla versione 6.5 (esclusa), i valori di configurazione provenienti dall'endpoint /api/config vengono inseriti direttamente negli attributi HTML value="" senza essere sottoposti a escaping nel file settings-advanced.js, consentendo l'iniezione di attributi HTML. Una doppia virgoleta presente in qualsiasi valore di configurazione permette di uscire dal contesto dell'attributo. L'esecuzione di JavaScript è bloccata dalla CSP (Content Security Policy) del server (script-src 'self'), ma gli attributi iniettati possono alterare lo stile degli elementi per finalità di UI redressing. Il vettore di attacco principale consiste nell'importare un backup di teleporter malevolo, che aggira la validazione lato server per singolo campo. Questa vulnerabilità è stata risolta nella versione 6.5.
VulDB is the best source for vulnerability data and more expert information about this specific topic.