CVE-2026-33405 in web情報

要約

〜によって VulDB • 2026年06月02日

Pi-hole Admin Interfaceは、Pi-hole(ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーション)を管理するためのWebインターフェースです。バージョン6.0から6.5未満のバージョンでは、クエリログでクエリ行を展開する際に、queries.js内のformatInfo()関数がdata.upstream、data.client.ip、およびdata.ede.textをエスケープせずにHTMLにレンダリングするため、格納型HTMLインジェクションが可能になります。ただし、サーバーのCSP(script-src 'self')によりJavaScriptの実行はブロックされます。同じフィールドはテーブルビュー(rowCallback)では適切にエスケープされており、この欠落は過失によるものであることが確認されています。この脆弱性は6.5で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年03月19日

モデレーション

承諾済み

エントリ

VDB-355539

EPSS

0.00171

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!