Plattform
javascript
Komponente
pi-hole/web
Behoben in
6.0.1
CVE-2026-33405 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Pi-hole Web Interface. This vulnerability arises from improper HTML escaping within the formatInfo() function, specifically when expanding query rows in the Query Log. Attackers can inject malicious HTML, potentially leading to client-side script execution, though the server's Content Security Policy (CSP) mitigates this risk. The vulnerability impacts Pi-hole versions 6.0.0 through 6.4 and is resolved in version 6.5.0.
CVE-2026-33405 betrifft die Web-Oberfläche von Pi-hole in Versionen vor 6.5.0. Es ermöglicht eine gespeicherte HTML-Injektion beim Erweitern einer Zeile im Abfrageprotokoll (Query Log). Insbesondere escaped die Funktion formatInfo() in queries.js die Daten data.upstream, data.client.ip und data.ede.text nicht korrekt, bevor sie in HTML gerendert werden. Dies bedeutet, dass ein Angreifer bösartigen HTML-Code in diese Felder injizieren könnte. Obwohl die Ausführung von JavaScript durch die Content Security Policy (CSP) des Servers blockiert wird, kann die HTML-Injektion dennoch zu Anzeigeproblemen, Instabilität der Oberfläche oder potenziell dazu führen, dass Benutzer auf bösartige Websites umgeleitet werden, je nachdem, wie der Browser das injizierte HTML interpretiert. Die Schwachstelle ist auf die erweiterte Ansicht der Abfragen beschränkt, nicht auf die Haupttabellenansicht, in der die Daten korrekt escaped werden.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er die Möglichkeit hat, die im Abfrageprotokoll von Pi-hole angezeigten Daten zu beeinflussen. Dies könnte der Fall sein, wenn der Angreifer ein Gerät im Netzwerk kompromittiert, das von Pi-hole überwacht wird und Abfragen mit bösartigen Daten sendet. Der Angreifer würde bösartiges HTML in die Felder data.upstream, data.client.ip oder data.ede.text innerhalb der Abfrage injizieren. Wenn ein Pi-hole-Administrator die Zeile dieser Abfrage im Protokoll erweitert, wird das injizierte HTML gerendert, was potenziell zu Anzeigeproblemen oder zur Umleitung des Benutzers auf eine bösartige Website führen kann. Die Effektivität der Ausnutzung hängt von der Browserkonfiguration des Benutzers und der Fähigkeit des Angreifers ab, die CSP-Schutzmaßnahmen zu umgehen.
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-33405 ist die Aktualisierung von Pi-hole auf Version 6.5.0 oder höher. Dieses Update behebt das Daten-Escaping-Problem in der Funktion formatInfo() und verhindert so die gespeicherte HTML-Injektion. Es wird dringend empfohlen, Pi-hole so schnell wie möglich zu aktualisieren, um das Risiko zu mindern. Wenn ein sofortiger Update nicht möglich ist, überprüfen Sie das Abfrageprotokoll sorgfältig auf verdächtige Aktivitäten. Obwohl die CSP die Ausführung von JavaScript blockiert, kann die HTML-Injektion dennoch schädlich sein. Stellen Sie außerdem sicher, dass Ihr Betriebssystem und andere Netzwerkkomponenten mit den neuesten Sicherheitspatches aktualisiert sind.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Pi-hole ist eine Open-Source-Software, die als DNS-Server und Netzwerk-Werbe- und Tracker-Blocker fungiert.
Das Aktualisieren von Pi-hole stellt sicher, dass Sie die neuesten Sicherheitspatches erhalten, wodurch Ihr Netzwerk vor Schwachstellen wie CVE-2026-33405 geschützt wird.
Obwohl die CSP die Ausführung von JavaScript blockiert, kann die HTML-Injektion dennoch Folgen haben, wie z. B. Anzeigeprobleme oder Weiterleitungen.
Wenn Sie eine Version von Pi-hole vor 6.5.0 verwenden, sind Sie anfällig für diese Schwachstelle.
Überprüfen Sie das Abfrageprotokoll auf verdächtige Aktivitäten und aktualisieren Sie Pi-hole so schnell wie möglich auf die neueste Version.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.