Plattform
javascript
Komponente
pi-hole/web
Behoben in
6.0.1
CVE-2026-33406 is a vulnerability affecting the Pi-hole Admin Interface, the web interface for managing the Pi-hole network ad blocker. This flaw allows for HTML attribute injection, potentially enabling UI redressing attacks by altering element styling. The vulnerability impacts versions 6.0.0 through 6.4.99. A patch is available in version 6.5.0.
CVE-2026-33406 betrifft die Web-Oberfläche von Pi-hole, einer Netzwerk-basierten Anwendung zum Blockieren von Werbung und Trackern. In Versionen 6.0 bis unter 6.5 werden Konfigurationswerte, die vom /api/config-Endpunkt abgerufen werden, direkt in HTML-Attributen 'value=' ohne Maskierung in der Datei settings-advanced.js platziert. Dies ermöglicht HTML-Attribut-Injection. Das Vorhandensein eines doppelten Anführungszeichens in einem Konfigurationswert kann den Attributkontext aufbrechen. Obwohl die Ausführung von JavaScript durch die Content Security Policy (CSP) des Servers (script-src 'self') blockiert wird, können injizierte Attribute verwendet werden, um das Verhalten der Seite zu manipulieren, obwohl die Ausführung von beliebigem Code unwahrscheinlich ist. Diese Schwachstelle könnte es einem Angreifer ermöglichen, das Erscheinungsbild oder Verhalten der Pi-hole-Admin-Oberfläche zu ändern, Benutzer möglicherweise zu täuschen oder Einstellungen zu ändern.
Ein Angreifer mit Zugriff auf die Pi-hole-Web-Oberfläche (z. B. über ein kompromittiertes lokales Netzwerk oder wenn die Web-Oberfläche öffentlich zugänglich ist, ohne ausreichende Schutzmaßnahmen) könnte diese Schwachstelle ausnutzen. Der Angreifer könnte bösartige HTML-Attribute in Konfigurationswerte injizieren, was zu einer Manipulation der Admin-Oberfläche führen könnte. Obwohl die Ausführung von JavaScript blockiert wird, kann die Attribut-Injection verwendet werden, um Phishing-Angriffe durchzuführen oder die Präsentation von Informationen zu ändern, was Administratoren verwirren kann. Die Schwere der Schwachstelle wird als moderat eingestuft, da die CSP Einschränkungen auferlegt, aber die Möglichkeit einer Interface-Manipulation die Aktualisierung rechtfertigt.
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die Behebung dieser Schwachstelle besteht darin, Pi-hole auf Version 6.5.0 oder höher zu aktualisieren. Diese Version enthält Korrekturen, die Konfigurationswerte korrekt maskieren, bevor sie in HTML-Attribute eingefügt werden, wodurch das Risiko einer Attribut-Injection gemildert wird. Es wird dringend empfohlen, Pi-hole so schnell wie möglich zu aktualisieren, um Ihr Netzwerk vor potenziellen Angriffen zu schützen. Überprüfen Sie regelmäßig auf Pi-hole-Updates und wenden Sie diese umgehend an. Das Aktualisieren ist der effektivste Weg, um diese Schwachstelle zu beheben und die Sicherheit Ihres Pi-hole-Systems zu gewährleisten.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de atributos HTML. Esta actualización corrige el problema al escapar correctamente los valores de configuración en el archivo settings-advanced.js, previniendo la manipulación de la interfaz de usuario.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Pi-hole ist eine Open-Source-Software, die als DNS-Server und Netzwerk-basiertes Werbe- und Tracker-Blocker fungiert.
Es ist eine Angriffstechnik, die es einem Angreifer ermöglicht, bösartigen HTML-Code in eine Webseite einzufügen, was deren Aussehen oder Verhalten verändern kann.
Obwohl die Ausführung von beliebigem Code unwahrscheinlich ist, könnte diese Schwachstelle es einem Angreifer ermöglichen, die Pi-hole-Admin-Oberfläche zu manipulieren, was zu Verwirrung oder Änderungen an Einstellungen führen könnte.
Wenn Sie Pi-hole nicht sofort aktualisieren können, stellen Sie sicher, dass die Web-Oberfläche von Pi-hole mit einem sicheren Passwort geschützt ist und nur von einem vertrauenswürdigen lokalen Netzwerk aus zugänglich ist.
Sie finden weitere Informationen zur Schwachstelle CVE-2026-33406 in Schwachstellendatenbanken, wie z. B. der National Vulnerability Database (NVD).
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.