CVE-2026-33403 in web
要約
〜によって VulDB • 2026年06月02日
Pi-hole Admin Interfaceは、Pi-hole(ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーション)を管理するためのWebインターフェースです。バージョン6.0から6.5未満の間、taillog.jsにおける反射型DOMベースのXSS脆弱性により、認証されていない攻撃者は悪意のあるURLを生成することで、Pi-holeの管理インターフェースに任意のHTMLを注入できます。fileクエリパラメータはエスケープ処理なしでinnerHTML代入に挿入されます。Content-Security-Policyにform-actionディレクティブが含まれていないため、注入された要素は資格情報を外部オリジンに漏洩させることができます。この脆弱性は6.5で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.