Pi-hole में queries.js में एक Stored HTML Injection है
प्लेटफ़ॉर्म
javascript
कॉम्पोनेन्ट
pi-hole/web
ठीक किया गया
6.5.0
Pi-hole Admin Interface, Pi-hole के प्रबंधन के लिए एक वेब इंटरफ़ेस है, जो एक नेटवर्क-स्तरीय विज्ञापन और इंटरनेट ट्रैकर ब्लॉकिंग एप्लिकेशन है। 6.0 से 6.5 से पहले, queries.js में formatInfo() फ़ंक्शन Query Log में एक क्वेरी पंक्ति का विस्तार करने पर data.upstream, data.client.ip, और data.ede.text को HTML में बिना एस्केप किए प्रस्तुत करता है, जिससे Stored HTML Injection संभव हो पाता है। सर्वर का CSP (script-src 'self') JavaScript निष्पादन को रोकता है। समान फ़ील्ड टेबल व्यू (rowCallback) में ठीक से एस्केप किए गए हैं, जो पुष्टि करते हैं कि चूक एक चूक थी। यह भेद्यता 6.5 में ठीक की गई है।
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें