CVE-2026-33405 in webthông tin

Tóm tắt

Bởi VulDB • 10/06/2026

Giao diện quản trị Pi-hole là một giao diện web để quản lý Pi-hole, một ứng dụng chặn quảng cáo và trình theo dõi internet ở cấp độ mạng. Từ phiên bản 6.0 đến trước 6.5, hàm formatInfo() trong queries.js hiển thị dữ liệu data.upstream, data.client.ip và data.ede.text vào HTML mà không thực hiện việc thoát ký tự (escaping) khi người dùng mở rộng một hàng truy vấn trong Nhật ký Truy vấn, cho phép tiêm mã HTML đã lưu trữ. Việc thực thi JavaScript bị chặn bởi chính sách bảo mật nội dung của máy chủ (CSP - script-src 'self'). Các trường tương tự được thoát đúng cách trong chế độ xem bảng (rowCallback), xác nhận rằng việc bỏ sót này là một sơ suất. Lỗ hổng này đã được sửa chữa trong phiên bản 6.5.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

19/03/2026

Tiết lộ

06/04/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00171

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!