Plateforme
javascript
Composant
pi-hole/web
Corrigé dans
6.0.1
La vulnérabilité CVE-2026-33406 concerne l'interface web de Pi-hole, un logiciel de blocage de publicités et de traqueurs au niveau du réseau. Elle permet une injection d'attribut HTML via le point de terminaison /api/config, où les valeurs de configuration sont insérées directement dans les attributs HTML sans échappement. Cette faille affecte les versions 6.0.0 jusqu'à, mais sans inclure, la version 6.5. Une correction a été déployée dans la version 6.5.0.
La vulnérabilité CVE-2026-33406 affecte l'interface web de Pi-hole, une application de blocage de publicités et de traqueurs au niveau du réseau. Entre les versions 6.0 et antérieures à 6.5, les valeurs de configuration récupérées à partir du point de terminaison /api/config sont insérées directement dans les attributs HTML 'value=' sans échappement dans le fichier settings-advanced.js, ce qui permet l'injection d'attributs HTML. La présence d'une guillemet double dans une valeur de configuration quelconque permet de sortir du contexte de l'attribut. Bien que l'exécution de JavaScript soit bloquée par la Politique de Sécurité du Contenu (CSP) du serveur (script-src 'self'), les attributs injectés peuvent être utilisés pour manipuler le comportement de la page, bien que l'exécution de code arbitraire soit peu probable. Cette vulnérabilité pourrait permettre à un attaquant de modifier l'apparence ou le comportement de l'interface d'administration de Pi-hole, trompant potentiellement les utilisateurs ou modifiant les paramètres.
Un attaquant ayant accès à l'interface web de Pi-hole (par exemple, via un réseau local compromis ou si l'interface web est exposée publiquement sans protections adéquates) pourrait exploiter cette vulnérabilité. L'attaquant pourrait injecter des attributs HTML malveillants dans les valeurs de configuration, ce qui pourrait entraîner la manipulation de l'interface d'administration. Bien que l'exécution de JavaScript soit bloquée, l'injection d'attributs peut être utilisée pour effectuer des attaques de phishing ou modifier la présentation des informations, ce qui peut induire les administrateurs en erreur. La gravité de la vulnérabilité est considérée comme modérée en raison des restrictions imposées par la CSP, mais la possibilité de manipulation de l'interface justifie la mise à niveau.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à niveau Pi-hole vers la version 6.5.0 ou ultérieure. Cette version inclut des corrections qui échappent correctement les valeurs de configuration avant de les insérer dans les attributs HTML, ce qui atténue le risque d'injection d'attributs. Il est fortement recommandé de mettre à niveau Pi-hole dès que possible pour protéger votre réseau contre les attaques potentielles. Vérifiez régulièrement les mises à jour de Pi-hole et appliquez-les rapidement. La mise à niveau est le moyen le plus efficace de résoudre cette vulnérabilité et de maintenir la sécurité de votre système Pi-hole.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de atributos HTML. Esta actualización corrige el problema al escapar correctamente los valores de configuración en el archivo settings-advanced.js, previniendo la manipulación de la interfaz de usuario.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Pi-hole est un logiciel open source qui fonctionne comme un serveur DNS et un bloqueur de publicités et de traqueurs au niveau du réseau.
C'est une technique d'attaque qui permet à un attaquant d'insérer du code HTML malveillant dans une page web, ce qui peut modifier son apparence ou son comportement.
Bien que l'exécution de code arbitraire soit peu probable, cette vulnérabilité pourrait permettre à un attaquant de manipuler l'interface d'administration de Pi-hole, ce qui pourrait entraîner de la confusion ou une modification des paramètres.
Si vous ne pouvez pas mettre à niveau immédiatement, assurez-vous que l'interface web de Pi-hole est protégée par un mot de passe fort et n'est accessible que depuis un réseau local de confiance.
Vous pouvez trouver plus d'informations sur la vulnérabilité CVE-2026-33406 dans les bases de données de vulnérabilités, telles que la National Vulnerability Database (NVD).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.