Pi-hole heeft een Stored XSS / HTML injectie in de Netwerk pagina/Dashboard

Pi-hole Admin Interface is een web interface voor het beheren van Pi-hole, een netwerk-level ad en internet tracker blokkerings applicatie. Van 6.0 tot voor 6.5 worden client hostnamen en IP adressen uit de FTL database gerenderd in de DOM zonder escaping in network.js (Netwerk pagina) en charts.js/index.js (Dashboard chart tooltips). Hoewel upstream validatie in dnsmasq en FTL HTML karakters blokkeert via normale DHCP/DNS paden, voert de web UI geen output escaping uit — een inconsistentie met andere velden in hetzelfde bestand die wel correct worden escaped. Deze kwetsbaarheid is verholpen in 6.5.