無料スキャン
LOWCVE-2026-33404CVSS 3.4

Pi-hole には Network ページ/Dashboard に Stored XSS / HTML インジェクションの脆弱性が存在する

プラットフォーム

javascript

コンポーネント

pi-hole/web

修正版

6.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月
NVDで見る
保存

CVE-2026-33404は、Pi-hole Web Interfaceにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、ネットワークページ(network.js)およびダッシュボードのチャートツールチップ(charts.js/index.js)において、FTLデータベースから取得したクライアントのホスト名とIPアドレスが適切にエスケープされずにDOMにレンダリングされる場合に発生します。影響を受けるバージョンは6.0.0から6.4.xです。この脆弱性はバージョン6.5で修正されています。

影響と攻撃シナリオ

攻撃者は、このXSS脆弱性を悪用することで、悪意のあるJavaScriptコードをPi-hole Web Interfaceに挿入し、ユーザーがそのページを閲覧した際にコードが実行される可能性があります。これにより、攻撃者はユーザーのセッションをハイジャックしたり、機密情報を窃取したり、ウェブサイトの見た目を改ざんしたりすることが可能になります。特に、Pi-hole管理者が攻撃対象となる可能性があり、ネットワーク全体の広告ブロック設定を悪用されるリスクも考えられます。この脆弱性は、他のPi-holeコンポーネントにおけるHTML文字の正常なフィルタリングとの不整合が原因で発生しています。

悪用の状況

この脆弱性は、2026年4月6日に公開されました。現時点では、この脆弱性を悪用する公開されたPoC(Proof of Concept)は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。この脆弱性は、他のXSS脆弱性と同様に、攻撃者によるスキャンや自動化された攻撃ツールによって悪用される可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明
CISA KEVNO
インターネット露出

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況poc
自動化可能no
技術的影響partial

CVSS ベクトル

脅威インテリジェンス· CVSS 3.1CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:N3.4LOWAttack VectorLocal攻撃者がターゲットに到達する方法Attack ComplexityLow悪用に必要な条件Privileges RequiredHigh攻撃に必要な認証レベルUser InteractionNone被害者の操作が必要かどうかScopeUnchanged影響コンポーネント外への波及ConfidentialityLow機密データ漏洩のリスクIntegrityLow不正データ改ざんのリスクAvailabilityNoneサービス障害のリスクnextguardhq.com · CVSS v3.1 基本スコア
これらのメトリクスの意味は?
Attack Vector
ローカル — システム上のローカルセッションまたはシェルが必要。
Attack Complexity
低 — 特別な条件不要。安定して悪用可能。
Privileges Required
高 — 管理者または特権アカウントが必要。
User Interaction
なし — 自動かつ無音の攻撃。被害者は何もしない。
Scope
変化なし — 影響は脆弱なコンポーネントのみ。
Confidentiality
低 — 一部データへの部分的アクセス。
Integrity
低 — 限定的な範囲でデータ変更可能。
Availability
なし — 可用性への影響なし。

影響を受けるソフトウェア

コンポーネントpi-hole/web
ベンダーpi-hole
影響範囲修正版
>= 6.0, < 6.5 – >= 6.0, < 6.56.0.1

弱点分類 (CWE)

CWE-79

タイムライン

  1. 予約済み
  2. 公開日
  3. EPSS 更新日

緩和策と回避策

この脆弱性への対応策として、Pi-hole Web Interfaceをバージョン6.5.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、WAF(Web Application Firewall)を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、ネットワークページおよびダッシュボードのチャートツールチップにおける入力値のエスケープ処理を強化するカスタムのパッチを適用することも有効です。アップグレード後、ブラウザの開発者ツールを使用して、ネットワークページおよびダッシュボードのチャートツールチップに悪意のあるスクリプトが挿入されていないことを確認してください。

修正方法

Pi-hole Web インターフェースをバージョン 6.5 以降にアップデートすることで、XSS の脆弱性を軽減できます。このアップデートにより、入力データが適切にエスケープされ、ネットワークページおよびコントロールパネルグラフのツールチップへの悪意のあるコードのインジェクションが防止されます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33404 — XSS in Pi-hole Web Interfaceとは何ですか?

CVE-2026-33404は、Pi-hole Web Interfaceのバージョン6.0.0~6.4.xにおいて、クライアントのホスト名とIPアドレスが適切にエスケープされずにDOMにレンダリングされるXSS脆弱性です。攻撃者は悪意のあるスクリプトを実行し、セッションハイジャックや情報窃取を試みる可能性があります。

CVE-2026-33404 in Pi-hole Web Interfaceの影響を受けていますか?

Pi-hole Web Interfaceのバージョン6.0.0から6.4.xを使用している場合、この脆弱性の影響を受けます。バージョン6.5.0以降にアップグレードすることで、この脆弱性を修正できます。

CVE-2026-33404 in Pi-hole Web Interfaceを修正するにはどうすればよいですか?

Pi-hole Web Interfaceをバージョン6.5.0以降にアップグレードしてください。アップグレードが困難な場合は、WAFを導入するか、カスタムパッチを適用することを検討してください。

CVE-2026-33404は積極的に悪用されていますか?

現時点では、この脆弱性を悪用する公開されたPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。

CVE-2026-33404に関するPi-holeの公式アドバイザリはどこで入手できますか?

Pi-holeの公式アドバイザリは、Pi-holeのウェブサイトまたはGitHubリポジトリで確認できます。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索