Pi-hole présente une injection d'attribut HTML stockée

Pi-hole Admin Interface est une interface web pour gérer Pi-hole, une application de blocage de publicités et de traqueurs au niveau du réseau. De la version 6.0 à la version 6.5, les valeurs de configuration provenant du point de terminaison /api/config sont insérées directement dans les attributs HTML value="" sans échappement dans settings-advanced.js, permettant une injection d'attribut HTML. Un guillemet double dans n'importe quelle valeur de configuration permet de sortir du contexte de l'attribut. L'exécution de JavaScript est bloquée par le CSP du serveur (script-src 'self'), mais les attributs injectés peuvent modifier le style des éléments pour un redressement de l'interface utilisateur. Le vecteur d'attaque principal est l'importation d'une sauvegarde téléporteur malveillante, ce qui contourne la validation côté serveur par champ. Cette vulnérabilité est corrigée dans la version 6.5.