Pi-hole には Stored HTML 属性インジェクションの脆弱性が存在する

Pi-hole Admin Interface は、ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーションである Pi-hole を管理するための Web インターフェースです。6.0 から 6.5 以前のバージョンでは、/api/config エンドポイントからの設定値がエスケープ処理なしに settings-advanced.js の HTML value="" 属性に直接配置されます。これにより、HTML 属性インジェクションが可能になります。設定値内のダブルクォーテーションは、属性コンテキストから抜け出す原因となります。JavaScript の実行はサーバーの CSP (script-src 'self') によってブロックされますが、注入された属性は UI のリドレスのために要素のスタイルを変更できます。主な攻撃ベクトルは、フィールドごとのサーバーサイド検証をバイパスする悪意のあるテレポーターバックアップをインポートすることです。この脆弱性は 6.5 で修正されています。