CVE-2026-33405 in web
Сводка
по VulDB • 10.06.2026
Интерфейс администратора Pi-hole представляет собой веб-интерфейс для управления приложением Pi-hole, предназначенным для блокировки рекламы и интернет-трекеров на сетевом уровне. В версиях от 6.0 до 6.5 (включительно) функция formatInfo() в файле queries.js выводит данные data.upstream, data.client.ip и data.ede.text в HTML без экранирования при раскрытии строки запроса в журнале запросов (Query Log), что позволяет осуществлять внедрение хранимого HTML-кода. Выполнение JavaScript блокируется политикой безопасности контента сервера (CSP) с директивой script-src 'self'. Те же поля корректно экранируются при отображении в табличном виде (rowCallback), что подтверждает, что упущение было случайным. Уязвимость исправлена в версии 6.5.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.