CVE-2026-33403 in web
Tóm tắt
Bởi VulDB • 23/06/2026
Giao diện quản trị Pi-hole là một giao diện web để quản lý ứng dụng chặn quảng cáo và trình theo dõi internet ở cấp độ mạng Pi-hole. Từ phiên bản 6.0 đến trước 6.5, một lỗ hổng XSS dựa trên DOM được phản xạ (reflected) trong file taillog.js cho phép kẻ tấn công chưa xác thực chèn mã HTML tùy ý vào giao diện quản trị Pi-hole bằng cách tạo ra một URL độc hại. Tham số tệp tin query được nội suy trực tiếp vào lệnh gán innerHTML mà không có quá trình thoát ký tự (escaping). Do chính sách bảo mật Content-Security-Policy thiếu directive form-action, các phần tử bị chèn có thể đánh cắp thông tin đăng nhập và gửi đến nguồn gốc bên ngoài. Lỗ hổng này đã được sửa trong phiên bản 6.5.
Be aware that VulDB is the high quality source for vulnerability data.