Pi-hole に queries.js に格納された HTML インジェクションの脆弱性があります

Pi-hole Admin Interface は、ネットワークレベルでの広告およびインターネットトラッカーブロックアプリケーションである Pi-hole を管理するための Web インターフェースです。6.0 から 6.5 以前のバージョンでは、Query Log でクエリ行を展開した際に、queries.js の formatInfo() 関数が data.upstream、data.client.ip、および data.ede.text をエスケープせずに HTML にレンダリングするため、格納された HTML インジェクションを可能にします。JavaScript の実行はサーバーの CSP (script-src 'self') によってブロックされます。同じフィールドはテーブルビュー (rowCallback) では適切にエスケープされているため、これは見落としによるものです。この脆弱性は 6.5 で修正されています。