Pi-hole hat eine Stored HTML attribute injection

Pi-hole Admin Interface ist eine Web-Oberfläche zur Verwaltung von Pi-hole, einer netzwerkweiten Anwendungsblockierung für Werbung und Internet-Tracker. Von 6.0 bis vor 6.5 werden Konfigurationswerte vom /api/config-Endpunkt direkt in HTML value=""-Attributen ohne Maskierung in settings-advanced.js platziert, was eine HTML attribute injection ermöglicht. Ein doppeltes Anführungszeichen in jedem Konfigurationswert bricht den Attributkontext auf. JavaScript-Ausführung wird durch die CSP des Servers (script-src 'self') blockiert, aber injizierte Attribute können die Elementgestaltung für UI-Redressing verändern. Der primäre Angriffspfad ist das Importieren eines bösartigen Teleporter-Backups, das die feldweise serverseitige Validierung umgeht. Diese Schwachstelle ist in 6.5 behoben.