プラットフォーム
javascript
コンポーネント
pi-hole/web
修正版
6.0.1
CVE-2026-33405 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Pi-hole Web Interface. This vulnerability arises from improper HTML escaping within the formatInfo() function, specifically when expanding query rows in the Query Log. Attackers can inject malicious HTML, potentially leading to client-side script execution, though the server's Content Security Policy (CSP) mitigates this risk. The vulnerability impacts Pi-hole versions 6.0.0 through 6.4 and is resolved in version 6.5.0.
CVE-2026-33405 は、6.5.0 より前のバージョンの Pi-hole Web インターフェースに影響します。クエリログ (Query Log) の行を展開する際に、保存された HTML インジェクションを可能にします。具体的には、queries.js の formatInfo() 関数は、data.upstream、data.client.ip、および data.ede.text を HTML としてレンダリングする前に、適切にエスケープしていません。これにより、攻撃者はこれらのフィールドに悪意のある HTML コードを挿入できる可能性があります。サーバーのコンテンツセキュリティポリシー (CSP) によって JavaScript の実行はブロックされていますが、HTML インジェクションは依然として表示の問題、インターフェースの不安定性、またはブラウザが挿入された HTML をある特定の方法で解釈した場合、ユーザーを悪意のある Web サイトにリダイレクトする可能性があります。この脆弱性は、データが適切にエスケープされているメインのテーブルビューではなく、クエリの展開ビューに限定されます。
攻撃者は、Pi-hole の Query Log に表示されるデータを操作できる場合、この脆弱性を悪用できる可能性があります。これは、Pi-hole が監視しているネットワーク上のデバイスが侵害され、悪意のあるデータを含むクエリを送信する場合に発生する可能性があります。攻撃者は、クエリ内の data.upstream、data.client.ip、または data.ede.text フィールドに悪意のある HTML を挿入します。Pi-hole 管理者がそのクエリの行をログで展開すると、挿入された HTML がレンダリングされ、表示の問題が発生したり、ユーザーが悪意のある Web サイトにリダイレクトされたりする可能性があります。エクスプロイトの有効性は、ユーザーのブラウザ構成と、攻撃者が CSP の保護を回避する能力に依存します。
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVSS ベクトル
CVE-2026-33405 の解決策は、Pi-hole をバージョン 6.5.0 以降に更新することです。この更新により、formatInfo() 関数におけるデータのエスケープの問題が修正され、保存された HTML インジェクションが防止されます。リスクを軽減するために、できるだけ早く Pi-hole を更新することを強くお勧めします。直ちに更新できない場合は、Query Log を注意深く確認して、疑わしいアクティビティがないか確認してください。CSP が JavaScript の実行をブロックしているにもかかわらず、HTML インジェクションは依然として有害です。オペレーティングシステムおよびその他のネットワークコンポーネントも、最新のセキュリティパッチで更新されていることを確認してください。
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
脆弱性分析と重要アラートをメールでお届けします。
Pi-hole は、DNS サーバーおよびネットワークレベルの広告およびトラッカーブロッカーとして機能するオープンソースソフトウェアです。
Pi-hole を更新することで、最新のセキュリティパッチを受け取り、CVE-2026-33405 のような脆弱性からネットワークを保護できます。
CSP が JavaScript の実行をブロックしているにもかかわらず、HTML インジェクションは依然として表示の問題やリダイレクトなどの結果をもたらす可能性があります。
6.5.0 より前のバージョンの Pi-hole を使用している場合、この脆弱性に影響を受けます。
Query Log を確認して、疑わしいアクティビティがないか確認し、できるだけ早く Pi-hole を最新バージョンに更新してください。