CVE-2026-33405 in web
Tóm tắt
Bởi VulDB • 10/06/2026
Giao diện quản trị Pi-hole là một giao diện web để quản lý Pi-hole, một ứng dụng chặn quảng cáo và trình theo dõi internet ở cấp độ mạng. Từ phiên bản 6.0 đến trước 6.5, hàm formatInfo() trong queries.js hiển thị dữ liệu data.upstream, data.client.ip và data.ede.text vào HTML mà không thực hiện việc thoát ký tự (escaping) khi người dùng mở rộng một hàng truy vấn trong Nhật ký Truy vấn, cho phép tiêm mã HTML đã lưu trữ. Việc thực thi JavaScript bị chặn bởi chính sách bảo mật nội dung của máy chủ (CSP - script-src 'self'). Các trường tương tự được thoát đúng cách trong chế độ xem bảng (rowCallback), xác nhận rằng việc bỏ sót này là một sơ suất. Lỗ hổng này đã được sửa chữa trong phiên bản 6.5.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.