Pi-hole heeft een Stored HTML attribute injectie

De Pi-hole Admin Interface is een webinterface voor het beheren van Pi-hole, een netwerk-level ad- en internettracker blokkeer applicatie. Van 6.0 tot voor 6.5 worden configuratiewaarden van het /api/config endpoint direct in HTML value="" attributen geplaatst zonder escaping in settings-advanced.js, waardoor HTML attribute injectie mogelijk is. Een dubbele aanhalingsteken in een configuratiewaarde breekt uit de attribuut context. JavaScript uitvoering wordt geblokkeerd door de server's CSP (script-src 'self'), maar geïnjecteerde attributen kunnen element styling wijzigen voor UI redressing. De primaire aanval vector is het importeren van een kwaadaardige teleporter backup, wat per-veld server-side validatie omzeilt. Deze kwetsbaarheid is verholpen in 6.5.