CVE-2026-33405 in web
요약
\~에 의해 VulDB • 2026. 06. 10.
Pi-hole Admin Interface는 Pi-hole(네트워크 수준의 광고 및 인터넷 추적기 차단 애플리케이션)을 관리하기 위한 웹 인터페이스입니다. 버전 6.0부터 6.5 미만까지, queries.js의 formatInfo() 함수는 사용자가 쿼리 로그에서 쿼리 행을 확장할 때 data.upstream, data.client.ip, 그리고 data.ede.text를 이스케이프 처리 없이 HTML로 렌더링하므로 저장된 HTML 인젝션(stored HTML injection)이 가능합니다. 서버의 CSP(script-src 'self')에 의해 JavaScript 실행은 차단됩니다. 동일한 필드는 테이블 뷰(rowCallback)에서 적절히 이스케이프되므로, 이는 실수로 인한 누락임을 확인해 줍니다. 이 취약점은 6.5에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.