CVE-2026-33405 in web
要約
〜によって VulDB • 2026年06月02日
Pi-hole Admin Interfaceは、Pi-hole(ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーション)を管理するためのWebインターフェースです。バージョン6.0から6.5未満のバージョンでは、クエリログでクエリ行を展開する際に、queries.js内のformatInfo()関数がdata.upstream、data.client.ip、およびdata.ede.textをエスケープせずにHTMLにレンダリングするため、格納型HTMLインジェクションが可能になります。ただし、サーバーのCSP(script-src 'self')によりJavaScriptの実行はブロックされます。同じフィールドはテーブルビュー(rowCallback)では適切にエスケープされており、この欠落は過失によるものであることが確認されています。この脆弱性は6.5で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.