Platform
javascript
Component
pi-hole/web
Opgelost in
6.0.1
CVE-2026-33406 is a vulnerability affecting the Pi-hole Admin Interface, the web interface for managing the Pi-hole network ad blocker. This flaw allows for HTML attribute injection, potentially enabling UI redressing attacks by altering element styling. The vulnerability impacts versions 6.0.0 through 6.4.99. A patch is available in version 6.5.0.
CVE-2026-33406 heeft betrekking op de webinterface van Pi-hole, een netwerkapplicatie voor het blokkeren van advertenties en trackers. Van versie 6.0 tot en met versie minder dan 6.5 worden configuratiewaarden die worden opgehaald van het /api/config endpoint direct in HTML 'value=' attributen geplaatst zonder escaping in het bestand settings-advanced.js, waardoor HTML-attributinjectie mogelijk is. De aanwezigheid van een dubbele aanhaling in een configuratiewaarde kan de attribuutcontext doorbreken. Hoewel de uitvoering van JavaScript wordt geblokkeerd door het Content Security Policy (CSP) van de server (script-src 'self'), kunnen geïnjecteerde attributen worden gebruikt om het gedrag van de pagina te manipuleren, hoewel willekeurige code-uitvoering onwaarschijnlijk is. Deze kwetsbaarheid kan een aanvaller in staat stellen het uiterlijk of gedrag van de Pi-hole beheerinterface te wijzigen, waardoor gebruikers mogelijk worden misleid of instellingen worden gewijzigd.
Een aanvaller met toegang tot de Pi-hole webinterface (bijvoorbeeld via een gecompromitteerd lokaal netwerk of als de webinterface publiekelijk toegankelijk is zonder voldoende beveiligingsmaatregelen) kan deze kwetsbaarheid uitbuiten. De aanvaller kan kwaadaardige HTML-attributen in configuratiewaarden injecteren, wat kan leiden tot manipulatie van de beheerinterface. Hoewel de uitvoering van JavaScript wordt geblokkeerd, kan attributinjectie worden gebruikt om phishing-aanvallen uit te voeren of de presentatie van informatie te wijzigen, waardoor beheerders in verwarring kunnen worden gebracht. De ernst van de kwetsbaarheid wordt als matig beschouwd vanwege de beperkingen die door de CSP worden opgelegd, maar de mogelijkheid van interface manipulatie rechtvaardigt de update.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het upgraden van Pi-hole naar versie 6.5.0 of hoger. Deze versie bevat fixes die configuratiewaarden correct escapen voordat ze in HTML-attributen worden geplaatst, waardoor het risico op attributinjectie wordt verminderd. Het wordt ten zeerste aanbevolen om Pi-hole zo snel mogelijk te upgraden om uw netwerk te beschermen tegen mogelijke aanvallen. Controleer regelmatig op Pi-hole-updates en pas deze onmiddellijk toe. Upgraden is de meest effectieve manier om deze kwetsbaarheid aan te pakken en de beveiliging van uw Pi-hole-systeem te waarborgen.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de atributos HTML. Esta actualización corrige el problema al escapar correctamente los valores de configuración en el archivo settings-advanced.js, previniendo la manipulación de la interfaz de usuario.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Pi-hole is open-source software die fungeert als een DNS-server en een netwerkapplicatie voor het blokkeren van advertenties en trackers.
Het is een aanvalstechniek waarmee een aanvaller kwaadaardige HTML-code in een webpagina kan injecteren, waardoor het uiterlijk of gedrag ervan kan worden gewijzigd.
Hoewel willekeurige code-uitvoering onwaarschijnlijk is, kan deze kwetsbaarheid een aanvaller in staat stellen de Pi-hole beheerinterface te manipuleren, wat kan leiden tot verwarring of wijziging van instellingen.
Als u Pi-hole niet onmiddellijk kunt updaten, zorg er dan voor dat de webinterface van Pi-hole is beveiligd met een sterk wachtwoord en alleen toegankelijk is vanaf een vertrouwelijk lokaal netwerk.
U kunt meer informatie over CVE-2026-33406 vinden in kwetsbaarheidsdatabases, zoals de National Vulnerability Database (NVD).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.