प्लेटफ़ॉर्म
javascript
घटक
pi-hole/web
में ठीक किया गया
6.0.1
CVE-2026-33405 Pi-hole वेब इंटरफेस में एक भेद्यता है जो हमलावरों को क्वेरी लॉग में अनएस्केप्ड HTML इंजेक्ट करने की अनुमति देती है। यह HTML इंजेक्शन हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति दे सकता है, हालांकि सर्वर की CSP (Content Security Policy) JavaScript निष्पादन को रोकती है। यह भेद्यता Pi-hole के संस्करण 6.0.0 से लेकर 6.5 से पहले के संस्करणों को प्रभावित करती है और संस्करण 6.5.0 में ठीक की गई है।
CVE-2026-33405 Pi-hole वेब इंटरफ़ेस के 6.5.0 से पहले के संस्करणों को प्रभावित करता है। यह क्वेरी लॉग (Query Log) में एक पंक्ति का विस्तार करते समय संग्रहीत HTML इंजेक्शन की अनुमति देता है। विशेष रूप से, queries.js में formatInfo() फ़ंक्शन data.upstream, data.client.ip और data.ede.text को HTML के रूप में प्रस्तुत करने से पहले उन्हें ठीक से एस्केप नहीं करता है। इससे एक हमलावर इन फ़ील्ड में दुर्भावनापूर्ण HTML कोड इंजेक्ट कर सकता है। सर्वर का कंटेंट सुरक्षा नीति (CSP) JavaScript के निष्पादन को अवरुद्ध करता है, लेकिन HTML इंजेक्शन अभी भी प्रदर्शन समस्याओं, इंटरफ़ेस अस्थिरता या संभावित रूप से उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकता है, यह इस बात पर निर्भर करता है कि ब्राउज़र इंजेक्ट किए गए HTML को कैसे व्याख्या करता है। यह भेद्यता क्वेरी के विस्तारित दृश्य तक ही सीमित है, मुख्य तालिका दृश्य तक नहीं, जहां डेटा को ठीक से एस्केप किया गया है।
एक हमलावर इस भेद्यता का फायदा उठा सकता है यदि उसके पास Pi-hole के क्वेरी लॉग में प्रदर्शित डेटा को प्रभावित करने की क्षमता है। यह तब हो सकता है जब हमलावर नेटवर्क पर Pi-hole द्वारा मॉनिटर किए गए डिवाइस को समझौता करता है और दुर्भावनापूर्ण डेटा युक्त क्वेरी भेजता है। हमलावर क्वेरी के भीतर data.upstream, data.client.ip या data.ede.text फ़ील्ड में दुर्भावनापूर्ण HTML इंजेक्ट करेगा। जब Pi-hole व्यवस्थापक लॉग में उस क्वेरी की पंक्ति का विस्तार करता है, तो इंजेक्ट किया गया HTML प्रस्तुत किया जाएगा, जिससे प्रदर्शन समस्याएं हो सकती हैं या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइट पर पुनर्निर्देशित किया जा सकता है। शोषण की प्रभावशीलता उपयोगकर्ता के ब्राउज़र कॉन्फ़िगरेशन और हमलावर की CSP सुरक्षा को बायपास करने की क्षमता पर निर्भर करती है।
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33405 के लिए समाधान Pi-hole को संस्करण 6.5.0 या बाद में अपडेट करना है। यह अपडेट formatInfo() फ़ंक्शन में डेटा एस्केपिंग समस्या को ठीक करता है, जिससे संग्रहीत HTML इंजेक्शन को रोका जा सकता है। जोखिम को कम करने के लिए Pi-hole को जल्द से जल्द अपडेट करने की दृढ़ता से अनुशंसा की जाती है। यदि तत्काल अपडेट संभव नहीं है, तो किसी भी संदिग्ध गतिविधि के लिए क्वेरी लॉग की सावधानीपूर्वक जांच करें। यद्यपि CSP JavaScript के निष्पादन को अवरुद्ध करता है, HTML इंजेक्शन अभी भी हानिकारक हो सकता है। सुनिश्चित करें कि आपका ऑपरेटिंग सिस्टम और अन्य नेटवर्क घटक भी नवीनतम सुरक्षा पैच के साथ अपडेट किए गए हैं।
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Pi-hole एक ओपन-सोर्स सॉफ्टवेयर है जो DNS सर्वर और नेटवर्क-स्तरीय विज्ञापन और ट्रैकर ब्लॉकर के रूप में कार्य करता है।
Pi-hole को अपडेट करने से यह सुनिश्चित होता है कि आपको नवीनतम सुरक्षा पैच प्राप्त होते हैं, जिससे CVE-2026-33405 जैसे कमजोरियों से आपका नेटवर्क सुरक्षित रहता है।
हालांकि CSP JavaScript के निष्पादन को रोकता है, HTML इंजेक्शन अभी भी प्रदर्शन समस्याओं या पुनर्निर्देशनों जैसे परिणाम दे सकता है।
यदि आप Pi-hole के 6.5.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
किसी भी संदिग्ध गतिविधि के लिए क्वेरी लॉग की जांच करें और जल्द से जल्द Pi-hole को नवीनतम संस्करण में अपडेट करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।