MEDIUMCVE-2026-33406CVSS 5.4

Pi-hole には Stored HTML 属性インジェクションの脆弱性が存在する

Q: CVE-2026-33406 とは何ですか？（Pi-hole Web Interface）

Pi-hole は、DNS サーバーおよびネットワークレベルの広告およびトラッカーブロッカーとして機能するオープンソースソフトウェアです。

Q: Pi-hole Web Interface の CVE-2026-33406 による影響を受けていますか？

これは、攻撃者が Web ページに悪意のある HTML コードを挿入できる攻撃技術であり、その外観または動作を変更できます。

Q: Pi-hole Web Interface の CVE-2026-33406 を修正するにはどうすればよいですか？

任意のコードの実行は可能性が低いものの、この脆弱性を利用すると、攻撃者が Pi-hole 管理インターフェースを操作し、混乱や設定の変更につながる可能性があります。

Q: CVE-2026-33406 は積極的に悪用されていますか？

すぐに Pi-hole を更新できない場合は、Pi-hole Web インターフェースが強力なパスワードで保護され、信頼できるローカルネットワークからのみアクセスできることを確認してください。

Q: CVE-2026-33406 に関する Pi-hole Web Interface の公式アドバイザリはどこで確認できますか？

National Vulnerability Database (NVD) などの脆弱性データベースで、CVE-2026-33406 に関する詳細情報を入手できます。

プラットフォーム

javascript

コンポーネント

pi-hole/web

修正版

6.0.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Pi-hole Admin Interfaceは、ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーションであるPi-holeを管理するためのWebインターフェースです。バージョン6.0.0から6.5未満において、/api/configエンドポイントからの設定値がエスケープ処理なしでsettings-advanced.jsのHTML属性に直接埋め込まれる脆弱性が存在します。これにより、攻撃者はUIのスタイルを変更する可能性があります。バージョン6.5.0でこの問題は修正されています。

影響と攻撃シナリオ

CVE-2026-33406 は、ネットワークレベルの広告およびインターネットトラッカーブロックアプリケーションである Pi-hole の Web インターフェースに影響を与えます。バージョン 6.0 から 6.5 未満まで、/api/config エンドポイントから取得された構成値が settings-advanced.js ファイル内の HTML 'value=' 属性にエスケープなしで直接配置されます。これにより、HTML 属性インジェクションが可能になります。構成値内の二重引用符の存在は、属性コンテキストを破ります。サーバーのコンテンツセキュリティポリシー (CSP) (script-src 'self') によって JavaScript の実行がブロックされていますが、挿入された属性を使用してページの動作を操作できます。ただし、任意のコードの実行は可能性が低いです。この脆弱性を利用すると、攻撃者が Pi-hole 管理インターフェースの外観または動作を変更し、ユーザーを欺いたり、設定を変更したりする可能性があります。

悪用の状況

Pi-hole Web インターフェースにアクセスできる攻撃者 (たとえば、侵害されたローカルネットワーク経由、または Web インターフェースが適切な保護なしでパブリックに公開されている場合) は、この脆弱性を悪用する可能性があります。攻撃者は、構成値に悪意のある HTML 属性を挿入し、管理インターフェースを操作する可能性があります。JavaScript の実行がブロックされているにもかかわらず、属性インジェクションを使用してフィッシング攻撃を実行したり、情報の表示を変更して管理者と混乱させたりする可能性があります。CSP によって課される制限により、この脆弱性の深刻度は中程度と見なされますが、インターフェースの操作の可能性は更新を正当化します。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.04% (12% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントpi-hole/web

ベンダーpi-hole

影響範囲修正版

>= 6.0, < 6.5 – >= 6.0, < 6.56.0.1

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-19
公開日2026-04-06
更新日2026-04-07
EPSS 更新日2026-04-14

緩和策と回避策

この脆弱性の修正方法は、Pi-hole をバージョン 6.5.0 以降にアップグレードすることです。このバージョンには、HTML 属性に挿入する前に構成値を適切にエスケープする修正が含まれており、属性インジェクションのリスクを軽減します。潜在的な攻撃からネットワークを保護するために、できるだけ早く Pi-hole をアップグレードすることをお勧めします。Pi-hole の更新を定期的に確認し、速やかに適用してください。更新は、この脆弱性を修正し、Pi-hole システムのセキュリティを維持する最も効果的な方法です。

修正方法翻訳中…

Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de atributos HTML. Esta actualización corrige el problema al escapar correctamente los valores de configuración en el archivo settings-advanced.js, previniendo la manipulación de la interfaz de usuario.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33406 とは何ですか？（Pi-hole Web Interface）