Plateforme
javascript
Composant
pi-hole/web
Corrigé dans
6.0.1
La vulnérabilité CVE-2026-33404 est une faille de Cross-Site Scripting (XSS) affectant l'interface web de Pi-hole, un logiciel de blocage de publicités et de traqueurs au niveau du réseau. Cette faille permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web de l'interface. Elle concerne les versions de Pi-hole comprises entre 6.0.0 et 6.5 (exclusivement). La correction est disponible dans la version 6.5.0.
Un attaquant exploitant cette vulnérabilité peut exécuter du code JavaScript arbitraire dans le navigateur d'un utilisateur accédant à l'interface web de Pi-hole. Cela pourrait permettre de voler des cookies de session, de rediriger l'utilisateur vers des sites malveillants, ou de modifier l'apparence de l'interface pour induire l'utilisateur en erreur. L'impact est limité à l'interface web et ne permet pas d'accéder directement au système sous-jacent, mais peut compromettre la confidentialité des informations affichées et la confiance de l'utilisateur dans le système Pi-hole. L'absence d'échappement des données DHCP/DNS rend cette vulnérabilité particulièrement préoccupante, car elle exploite une incohérence dans le traitement des données sensibles.
Cette vulnérabilité a été rendue publique le 6 avril 2026. Aucune preuve d'exploitation active n'a été signalée à ce jour. Il n'y a pas d'entrée correspondante dans le KEV de CISA. Un Proof of Concept (PoC) public pourrait être développé, augmentant le risque d'exploitation.
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Pi-hole vers la version 6.5.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement les fonctionnalités affectées (page réseau et infobulles du tableau de bord) pour réduire la surface d'attaque. Bien qu'il n'existe pas de règles WAF spécifiques à cette vulnérabilité, une règle générale de filtrage des scripts injectés dans les requêtes GET et POST peut offrir une protection supplémentaire. Après la mise à jour, vérifiez que les noms d'hôtes et adresses IP sont correctement échappés dans l'interface web en inspectant le code source des pages concernées.
Mettez à jour l'interface web de Pi-hole à la version 6.5 ou supérieure pour atténuer la vulnérabilité XSS. Cette mise à jour échappe correctement les données d'entrée, empêchant l'injection de code malveillant dans la page réseau et les info-bulles du graphique du tableau de bord.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Pi-hole is an open-source DNS server and network-level ad blocker.
Updating Pi-hole ensures that the latest security patches are applied, protecting your network from vulnerabilities like CVE-2026-33404.
You can update Pi-hole using the pihole -up command in the command line or through the Pi-hole web admin interface.
Change Pi-hole and any related account passwords, review Pi-hole logs for suspicious activity, and consider reinstalling Pi-hole from scratch.
While not a complete solution, you can limit access to the Pi-hole web interface and restrict the IP addresses that can access it.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.