प्लेटफ़ॉर्म
javascript
घटक
pi-hole/web
में ठीक किया गया
6.0.1
CVE-2026-33406 Pi-hole वेब इंटरफ़ेस में एक भेद्यता है, जहाँ /api/config एंडपॉइंट से कॉन्फ़िगरेशन मानों को बिना एस्केप किए settings-advanced.js में HTML एट्रिब्यूट में डाला जाता है। इससे HTML एट्रिब्यूट इंजेक्शन हो सकता है, जिससे हमलावर UI को रीड्रेस करने के लिए तत्व स्टाइलिंग को बदल सकते हैं। यह भेद्यता Pi-hole के संस्करण 6.0.0 से 6.5 तक के संस्करणों को प्रभावित करती है। इस समस्या को संस्करण 6.5.0 में ठीक कर दिया गया है।
CVE-2026-33406 Pi-hole के वेब इंटरफ़ेस को प्रभावित करता है, जो एक नेटवर्क-स्तरीय विज्ञापन और इंटरनेट ट्रैकर अवरोधक एप्लिकेशन है। संस्करण 6.0 से 6.5 से पहले, /api/config एंडपॉइंट से प्राप्त कॉन्फ़िगरेशन मानों को settings-advanced.js फ़ाइल में HTML 'value=' विशेषताओं में सीधे रखा जाता है, बिना एस्केप किए। यह HTML विशेषता इंजेक्शन को सक्षम करता है। किसी भी कॉन्फ़िगरेशन मान में दोहरा उद्धरण चिह्न विशेषता संदर्भ को तोड़ देता है। सर्वर का कंटेंट सुरक्षा नीति (CSP) (script-src 'self') JavaScript निष्पादन को अवरुद्ध करता है, लेकिन इंजेक्ट किए गए विशेषताओं का उपयोग पृष्ठ के व्यवहार में हेरफेर करने के लिए किया जा सकता है, हालांकि मनमाना कोड निष्पादन की संभावना कम है। यह भेद्यता एक हमलावर को Pi-hole व्यवस्थापन इंटरफ़ेस के स्वरूप या व्यवहार को संशोधित करने की अनुमति दे सकती है, जिससे उपयोगकर्ताओं को धोखा दिया जा सकता है या सेटिंग्स बदली जा सकती हैं।
Pi-hole वेब इंटरफ़ेस तक पहुंच रखने वाला एक हमलावर (उदाहरण के लिए, एक समझौता किए गए स्थानीय नेटवर्क के माध्यम से या यदि वेब इंटरफ़ेस उपयुक्त सुरक्षा के बिना सार्वजनिक रूप से उजागर है) इस भेद्यता का फायदा उठा सकता है। हमलावर कॉन्फ़िगरेशन मानों में दुर्भावनापूर्ण HTML विशेषताओं को इंजेक्ट कर सकता है, जिससे व्यवस्थापन इंटरफ़ेस में हेरफेर हो सकता है। हालांकि JavaScript निष्पादन को अवरुद्ध किया गया है, विशेषता इंजेक्शन का उपयोग फ़िशिंग हमलों को करने या जानकारी के प्रदर्शन को बदलने के लिए किया जा सकता है, जिससे व्यवस्थापक भ्रमित हो सकते हैं। CSP द्वारा लगाए गए प्रतिबंधों के कारण इस भेद्यता की गंभीरता को मध्यम माना जाता है, लेकिन इंटरफ़ेस हेरफेर की संभावना अपडेट को सही ठहराती है।
एक्सप्लॉइट स्थिति
EPSS
0.04% (12% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को ठीक करने का तरीका Pi-hole को संस्करण 6.5.0 या बाद के संस्करण में अपग्रेड करना है। इस संस्करण में फिक्स शामिल हैं जो HTML विशेषताओं में डालने से पहले कॉन्फ़िगरेशन मानों को ठीक से एस्केप करते हैं, जिससे विशेषता इंजेक्शन का जोखिम कम हो जाता है। संभावित हमलों से अपने नेटवर्क की सुरक्षा के लिए Pi-hole को जल्द से जल्द अपग्रेड करने की दृढ़ता से अनुशंसा की जाती है। Pi-hole अपडेट की नियमित रूप से जांच करें और उन्हें तुरंत लागू करें। अपडेट इस भेद्यता को ठीक करने और आपके Pi-hole सिस्टम की सुरक्षा बनाए रखने का सबसे प्रभावी तरीका है।
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de atributos HTML. Esta actualización corrige el problema al escapar correctamente los valores de configuración en el archivo settings-advanced.js, previniendo la manipulación de la interfaz de usuario.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Pi-hole एक ओपन-सोर्स सॉफ्टवेयर है जो DNS सर्वर और नेटवर्क-स्तरीय विज्ञापन और ट्रैकर अवरोधक के रूप में कार्य करता है।
यह एक हमला तकनीक है जो एक हमलावर को वेब पेज में दुर्भावनापूर्ण HTML कोड इंजेक्ट करने की अनुमति देती है, जिससे उसका स्वरूप या व्यवहार बदल सकता है।
हालांकि मनमाना कोड निष्पादन की संभावना कम है, यह भेद्यता एक हमलावर को Pi-hole व्यवस्थापन इंटरफ़ेस में हेरफेर करने की अनुमति दे सकती है, जिससे भ्रम या सेटिंग्स में परिवर्तन हो सकता है।
यदि आप तुरंत Pi-hole को अपडेट नहीं कर सकते हैं, तो सुनिश्चित करें कि Pi-hole वेब इंटरफ़ेस को एक मजबूत पासवर्ड से सुरक्षित किया गया है और केवल एक विश्वसनीय स्थानीय नेटवर्क से ही एक्सेस किया जा सकता है।
आप राष्ट्रीय भेद्यता डेटाबेस (NVD) जैसे भेद्यता डेटाबेस में CVE-2026-33406 के बारे में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।