Pi-hole में एक Stored HTML विशेषता इंजेक्शन है

Pi-hole Admin Interface, Pi-hole के प्रबंधन के लिए एक वेब इंटरफ़ेस है, जो एक नेटवर्क-स्तरीय विज्ञापन और इंटरनेट ट्रैकर ब्लॉकिंग एप्लिकेशन है। 6.0 से 6.5 से पहले, /api/config एंडपॉइंट से कॉन्फ़िगरेशन मानों को settings-advanced.js में एस्केपिंग के बिना सीधे HTML value="" विशेषताओं में रखा जाता है, जिससे HTML विशेषता इंजेक्शन सक्षम होता है। किसी भी कॉन्फ़िगरेशन मान में एक डबल कोट विशेषता संदर्भ से बाहर निकल जाता है। सर्वर के CSP (script-src 'self') द्वारा JavaScript निष्पादन अवरुद्ध है, लेकिन इंजेक्टेड विशेषताएँ UI को फिर से तैयार करने के लिए तत्व स्टाइलिंग को बदल सकती हैं। प्राथमिक आक्रमण वेक्टर एक दुर्भावनापूर्ण टेलीपोर्टर बैकअप आयात करना है, जो प्रति-फ़ील्ड सर्वर-साइड सत्यापन को दरकिनार करता है। यह भेद्यता 6.5 में ठीक की गई है।