Pi-hole में नेटवर्क पेज/डैशबोर्ड में एक Stored XSS / HTML इंजेक्शन है
प्लेटफ़ॉर्म
javascript
कॉम्पोनेन्ट
pi-hole/web
ठीक किया गया
6.5.0
Pi-hole Admin Interface, Pi-hole के प्रबंधन के लिए एक वेब इंटरफ़ेस है, जो एक नेटवर्क-स्तरीय विज्ञापन और इंटरनेट ट्रैकर ब्लॉकिंग एप्लिकेशन है। 6.0 से 6.5 से पहले, FTL डेटाबेस से क्लाइंट होस्टनाम और IP पते DOM में बिना एस्केप किए प्रस्तुत किए जाते हैं network.js (Network page) और charts.js/index.js (Dashboard chart tooltips) में। जबकि dnsmasq और FTL में अपस्ट्रीम सत्यापन सामान्य DHCP/DNS पथों के माध्यम से HTML वर्णों को ब्लॉक करता है, वेब UI कोई आउटपुट एस्केपिंग नहीं करता है — यह उसी फ़ाइल में अन्य फ़ील्ड के साथ एक विसंगति है जो ठीक से एस्केप किए गए हैं। यह भेद्यता 6.5 में ठीक की गई है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें