Pi-hole hat eine Stored HTML Injection in queries.js

Pi-hole Admin Interface ist eine Web-Oberfläche zur Verwaltung von Pi-hole, einer netzwerkweiten Anwendungsblockierung für Werbung und Internet-Tracker. Von 6.0 bis vor 6.5 rendert die Funktion formatInfo() in queries.js data.upstream, data.client.ip und data.ede.text in HTML, ohne sie zu maskieren, wenn ein Benutzer eine Zeile im Query Log erweitert, was eine Stored HTML Injection ermöglicht. Die JavaScript-Ausführung wird durch die CSP (script-src 'self') des Servers blockiert. Dieselben Felder werden in der Tabellenansicht (rowCallback) korrekt maskiert, was bestätigt, dass die Auslassung ein Versehen war. Diese Schwachstelle ist in 6.5 behoben.