Platform
javascript
Component
pi-hole/web
Opgelost in
6.0.1
CVE-2026-33404 is een cross-site scripting (XSS) kwetsbaarheid in de Pi-hole Web Interface. Deze kwetsbaarheid stelt een aanvaller in staat om kwaadaardige scripts uit te voeren in de browser van een beheerder. De kwetsbaarheid treedt op in versies 6.0.0 tot en met, maar exclusief, 6.5. Een fix is beschikbaar in versie 6.5.0.
Deze XSS-kwetsbaarheid in de Pi-hole Web Interface kan worden misbruikt om kwaadaardige JavaScript-code uit te voeren in de context van de beheerder. Een aanvaller kan dit doen door een speciaal ontworpen payload in te voeren via de clientnamen of IP-adressen die worden weergegeven in de webinterface. Dit kan leiden tot het stelen van sessiecookies, het wijzigen van de configuratie van Pi-hole, of het doorsturen van gebruikers naar kwaadaardige websites. De impact is vooral groot omdat Pi-hole vaak wordt gebruikt in thuisnetwerken en kleine bedrijven, waar de beveiliging vaak minder robuust is. Het misbruik van deze kwetsbaarheid kan leiden tot een compromis van de hele netwerkomgeving.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is momenteel geen melding van actieve exploitatie in de wild, maar de lage CVSS-score en de eenvoud van de exploitatie maken het waarschijnlijk dat deze in de toekomst zal worden misbruikt. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de urgentie van de mitigatie benadrukt.
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33404 is het upgraden van de Pi-hole Web Interface naar versie 6.5.0 of hoger. Als een upgrade momenteel niet mogelijk is, kan het tijdelijk beperken van de toegang tot de webinterface via een firewall of WAF helpen om het risico te verminderen. Controleer ook de logs op verdachte activiteit, zoals ongebruikelijke JavaScript-aanroepen of pogingen om configuratiebestanden te wijzigen. Na de upgrade, verifieer de correcte werking van de webinterface door de clientnamen en IP-adressen te controleren op correcte weergave en geen onverwachte scripts.
Actualiseer de Pi-hole web interface naar versie 6.5 of hoger om de XSS kwetsbaarheid te mitigeren. Deze update escaped invoergegevens correct, waardoor de injectie van kwaadaardige code op de netwerk pagina en de tooltips van de dashboard grafiek wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Pi-hole is an open-source DNS server and network-level ad blocker.
Updating Pi-hole ensures that the latest security patches are applied, protecting your network from vulnerabilities like CVE-2026-33404.
You can update Pi-hole using the pihole -up command in the command line or through the Pi-hole web admin interface.
Change Pi-hole and any related account passwords, review Pi-hole logs for suspicious activity, and consider reinstalling Pi-hole from scratch.
While not a complete solution, you can limit access to the Pi-hole web interface and restrict the IP addresses that can access it.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.