CVE-2026-33405 in web
Sumário
de VulDB • 22/05/2026
A interface de administração do Pi-hole é uma interface web para gerenciar o Pi-hole, um aplicativo de bloqueio de anúncios e rastreadores de internet em nível de rede. Da versão 6.0 até antes da 6.5, a função formatInfo() em queries.js renderiza data.upstream, data.client.ip e data.ede.text em HTML sem escapar os caracteres quando um usuário expande uma linha de consulta no Log de Consultas, permitindo injeção de HTML armazenada. A execução de JavaScript é bloqueada pela CSP (script-src 'self') do servidor. Os mesmos campos são devidamente escapados na visualização de tabela (rowCallback), confirmando que a omissão foi uma falha de atenção. Esta vulnerabilidade foi corrigida na versão 6.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.