Plateforme
javascript
Composant
pi-hole/web
Corrigé dans
6.0.1
La vulnérabilité CVE-2026-33405 affecte l'interface web d'administration de Pi-hole, un logiciel de blocage de publicités et de traqueurs au niveau du réseau. Elle permet l'injection de code HTML non échappé via la fonction formatInfo() dans le journal des requêtes, ce qui pourrait potentiellement compromettre l'affichage et la sécurité de l'interface. Cette faille concerne les versions de Pi-hole comprises entre 6.0.0 et 6.5 (excluant 6.5). Une correction a été déployée dans la version 6.5.0.
La vulnérabilité CVE-2026-33405 affecte l'interface web de Pi-hole dans les versions antérieures à 6.5.0. Elle permet l'injection de HTML stocké lors de l'expansion d'une ligne dans le Journal des requêtes (Query Log). Plus précisément, la fonction formatInfo() dans queries.js ne prend pas correctement en charge l'échappement de data.upstream, data.client.ip et data.ede.text avant de les rendre en HTML. Cela signifie qu'un attaquant peut injecter du code HTML malveillant dans ces champs. Bien que l'exécution de JavaScript soit bloquée par la Politique de Sécurité du Contenu (CSP) du serveur, l'injection de HTML peut toujours causer des problèmes d'affichage, une instabilité de l'interface ou, potentiellement, rediriger les utilisateurs vers des sites web malveillants, en fonction de la manière dont le navigateur interprète le HTML injecté. La vulnérabilité se limite à la vue étendue des requêtes, et non à la vue tabulaire principale où les données sont correctement échappées.
Un attaquant peut exploiter cette vulnérabilité s'il a la capacité d'influencer les données affichées dans le Journal des requêtes de Pi-hole. Cela pourrait se produire si l'attaquant compromet un appareil sur le réseau que Pi-hole surveille et qui envoie des requêtes contenant des données malveillantes. L'attaquant injecterait du HTML malveillant dans les champs data.upstream, data.client.ip ou data.ede.text au sein de la requête. Lorsque l'administrateur de Pi-hole étend la ligne de cette requête dans le journal, le HTML injecté sera rendu, ce qui pourrait causer des problèmes d'affichage ou rediriger l'utilisateur vers un site web malveillant. L'efficacité de l'exploitation dépend de la configuration du navigateur de l'utilisateur et de la capacité de l'attaquant à contourner les protections du CSP.
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2026-33405 est de mettre à jour Pi-hole vers la version 6.5.0 ou ultérieure. Cette mise à jour corrige le problème d'échappement des données dans la fonction formatInfo(), empêchant l'injection de HTML stocké. Il est fortement recommandé de mettre à jour Pi-hole dès que possible pour atténuer le risque. Si une mise à jour immédiate n'est pas possible, examinez attentivement le Journal des requêtes à la recherche d'activités suspectes. Bien que le CSP bloque l'exécution de JavaScript, l'injection de HTML peut toujours être préjudiciable. Assurez-vous également que votre système d'exploitation et les autres composants de votre réseau sont mis à jour avec les derniers correctifs de sécurité.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Pi-hole est un logiciel open source qui agit comme un serveur DNS et un bloqueur de publicités au niveau du réseau.
Mettre à jour Pi-hole garantit que vous recevez les derniers correctifs de sécurité, protégeant votre réseau contre les vulnérabilités telles que CVE-2026-33405.
Bien que le CSP bloque l'exécution de JavaScript, l'injection de HTML peut toujours avoir des conséquences, telles que des problèmes d'affichage ou des redirections.
Si vous utilisez une version de Pi-hole antérieure à 6.5.0, vous êtes vulnérable à cette vulnérabilité.
Examinez le Journal des requêtes à la recherche d'activités suspectes et mettez à jour Pi-hole vers la dernière version dès que possible.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.