プラットフォーム
javascript
コンポーネント
pi-hole/web
修正版
6.0.1
CVE-2026-33404は、Pi-hole Web Interfaceにおけるクロスサイトスクリプティング(XSS)脆弱性です。この脆弱性は、ネットワークページ(network.js)およびダッシュボードのチャートツールチップ(charts.js/index.js)において、FTLデータベースから取得したクライアントのホスト名とIPアドレスが適切にエスケープされずにDOMにレンダリングされる場合に発生します。影響を受けるバージョンは6.0.0から6.4.xです。この脆弱性はバージョン6.5で修正されています。
攻撃者は、このXSS脆弱性を悪用することで、悪意のあるJavaScriptコードをPi-hole Web Interfaceに挿入し、ユーザーがそのページを閲覧した際にコードが実行される可能性があります。これにより、攻撃者はユーザーのセッションをハイジャックしたり、機密情報を窃取したり、ウェブサイトの見た目を改ざんしたりすることが可能になります。特に、Pi-hole管理者が攻撃対象となる可能性があり、ネットワーク全体の広告ブロック設定を悪用されるリスクも考えられます。この脆弱性は、他のPi-holeコンポーネントにおけるHTML文字の正常なフィルタリングとの不整合が原因で発生しています。
この脆弱性は、2026年4月6日に公開されました。現時点では、この脆弱性を悪用する公開されたPoC(Proof of Concept)は確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。CISA KEVカタログへの登録状況は不明です。この脆弱性は、他のXSS脆弱性と同様に、攻撃者によるスキャンや自動化された攻撃ツールによって悪用される可能性があります。
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、Pi-hole Web Interfaceをバージョン6.5.0以降にアップグレードすることを推奨します。アップグレードが困難な場合は、WAF(Web Application Firewall)を導入し、XSS攻撃を検知・防御するルールを設定することを検討してください。また、ネットワークページおよびダッシュボードのチャートツールチップにおける入力値のエスケープ処理を強化するカスタムのパッチを適用することも有効です。アップグレード後、ブラウザの開発者ツールを使用して、ネットワークページおよびダッシュボードのチャートツールチップに悪意のあるスクリプトが挿入されていないことを確認してください。
Pi-hole Web インターフェースをバージョン 6.5 以降にアップデートすることで、XSS の脆弱性を軽減できます。このアップデートにより、入力データが適切にエスケープされ、ネットワークページおよびコントロールパネルグラフのツールチップへの悪意のあるコードのインジェクションが防止されます。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-33404は、Pi-hole Web Interfaceのバージョン6.0.0~6.4.xにおいて、クライアントのホスト名とIPアドレスが適切にエスケープされずにDOMにレンダリングされるXSS脆弱性です。攻撃者は悪意のあるスクリプトを実行し、セッションハイジャックや情報窃取を試みる可能性があります。
Pi-hole Web Interfaceのバージョン6.0.0から6.4.xを使用している場合、この脆弱性の影響を受けます。バージョン6.5.0以降にアップグレードすることで、この脆弱性を修正できます。
Pi-hole Web Interfaceをバージョン6.5.0以降にアップグレードしてください。アップグレードが困難な場合は、WAFを導入するか、カスタムパッチを適用することを検討してください。
現時点では、この脆弱性を悪用する公開されたPoCは確認されていませんが、XSS脆弱性は一般的に悪用される可能性が高いため、注意が必要です。
Pi-holeの公式アドバイザリは、Pi-holeのウェブサイトまたはGitHubリポジトリで確認できます。