Platform
javascript
Component
pi-hole/web
Opgelost in
6.0.1
CVE-2026-33405 betreft een HTML-injectie kwetsbaarheid in de Pi-hole Admin Interface, de webinterface voor het beheren van Pi-hole. Deze kwetsbaarheid stelt een aanvaller in staat om ongeëscape HTML in de Query Log te injecteren, wat kan leiden tot onbedoelde weergave van schadelijke content. De kwetsbaarheid is van invloed op versies 6.0.0 tot en met 6.4.99. Een fix is beschikbaar in versie 6.5.0.
CVE-2026-33405 treft de Pi-hole webinterface in versies vóór 6.5.0. Het maakt opgeslagen HTML-injectie mogelijk wanneer een rij in de Query Log wordt uitgebreid. Specifiek escaped de functie formatInfo() in queries.js data.upstream, data.client.ip en data.ede.text niet correct voordat ze in HTML worden weergegeven. Dit betekent dat een aanvaller kwaadaardige HTML-code in deze velden kan injecteren. Hoewel de uitvoering van JavaScript wordt geblokkeerd door het Content Security Policy (CSP) van de server, kan HTML-injectie nog steeds leiden tot weergaveproblemen, instabiliteit van de interface of mogelijk gebruikers omleiden naar kwaadaardige websites, afhankelijk van hoe de browser de geïnjecteerde HTML interpreteert. De kwetsbaarheid is beperkt tot de uitgebreide weergave van queries, niet tot de hoofd tabelweergave waar de gegevens correct worden escaped.
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij de mogelijkheid heeft om de gegevens te beïnvloeden die in de Query Log van Pi-hole worden weergegeven. Dit kan het geval zijn als de aanvaller een apparaat in het netwerk compromitteert dat door Pi-hole wordt gemonitord en dat queries met kwaadaardige gegevens verzendt. De aanvaller zou kwaadaardige HTML in de velden data.upstream, data.client.ip of data.ede.text binnen de query injecteren. Wanneer een Pi-hole beheerder de rij van die query in de log uitbreidt, wordt de geïnjecteerde HTML weergegeven, wat mogelijk tot weergaveproblemen of een omleiding van de gebruiker naar een kwaadaardige website kan leiden. De effectiviteit van de exploitatie hangt af van de browserconfiguratie van de gebruiker en het vermogen van de aanvaller om de CSP-beschermingsmaatregelen te omzeilen.
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-33405 is het updaten van Pi-hole naar versie 6.5.0 of hoger. Deze update corrigeert het data-escaping probleem in de functie formatInfo() en voorkomt zo opgeslagen HTML-injectie. Het wordt ten zeerste aanbevolen om Pi-hole zo snel mogelijk te updaten om het risico te verminderen. Als een onmiddellijke update niet mogelijk is, controleer dan zorgvuldig de Query Log op verdachte activiteiten. Hoewel de CSP de uitvoering van JavaScript blokkeert, kan HTML-injectie nog steeds schadelijk zijn. Zorg er ook voor dat uw besturingssysteem en andere netwerkcomponenten worden bijgewerkt met de nieuwste beveiligingspatches.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Pi-hole is open-source software die fungeert als een DNS-server en een netwerk-advertentie- en trackerblocker.
Het updaten van Pi-hole zorgt ervoor dat u de nieuwste beveiligingspatches ontvangt, waardoor uw netwerk wordt beschermd tegen kwetsbaarheden zoals CVE-2026-33405.
Hoewel de CSP de uitvoering van JavaScript blokkeert, kan HTML-injectie nog steeds gevolgen hebben, zoals weergaveproblemen of doorverwijzingen.
Als u een versie van Pi-hole gebruikt vóór 6.5.0, is deze kwetsbaar voor deze kwetsbaarheid.
Controleer de Query Log op verdachte activiteiten en update Pi-hole zo snel mogelijk naar de nieuwste versie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.