Pi-hole में नेटवर्क पेज/डैशबोर्ड में Stored XSS / HTML इंजेक्शन है

इस XSS भेद्यता का शोषण करने वाला हमलावर Pi-hole वेब इंटरफेस के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट कर सकता है। यह कोड उपयोगकर्ता के ब्राउज़र में निष्पादित होगा, जिससे हमलावर कुकीज़, सत्र टोकन और अन्य संवेदनशील जानकारी चुरा सकता है। इसके अतिरिक्त, हमलावर उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट कर सकता है या उपयोगकर्ता के ब्राउज़र में अन्य दुर्भावनापूर्ण क्रियाएं कर सकता है। चूंकि Pi-hole एक नेटवर्क-स्तरीय विज्ञापन और ट्रैकर ब्लॉकिंग एप्लिकेशन है, इसलिए इस भेद्यता का शोषण करने से नेटवर्क पर अन्य उपकरणों को भी खतरा हो सकता है। यह भेद्यता अन्य XSS भेद्यताओं के समान है, जहां असुरक्षित आउटपुट एन्कोडिंग के कारण हमलावर दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट कर सकते हैं।

1. आरक्षित2026-03-19
2. प्रकाशित2026-04-06
3. EPSS अद्यतन2026-04-14

CVE-2026-33404 को कम करने के लिए, Pi-hole को संस्करण 6.5.0 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करें जो XSS हमलों को ब्लॉक कर सके। WAF नियमों को Pi-hole वेब इंटरफेस के नेटवर्क.js और charts.js/index.js फ़ाइलों में विशिष्ट पैटर्न को लक्षित करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, सुनिश्चित करें कि Pi-hole वेब इंटरफेस के लिए सभी इनपुट को ठीक से मान्य और एन्कोड किया गया है। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, Pi-hole वेब इंटरफेस में एक साधारण XSS पेलोड का परीक्षण करें।