Pi-hole heeft een Stored HTML Injection in queries.js

Pi-hole Admin Interface is een webinterface voor het beheren van Pi-hole, een netwerk-level ad- en internettracker blokkeer applicatie. Van 6.0 tot voor 6.5 rendert de formatInfo() functie data.upstream, data.client.ip en data.ede.text in HTML zonder escaping wanneer een gebruiker een query rij uitklapt in de Query Log, waardoor een stored HTML injection mogelijk is. JavaScript uitvoering wordt geblokkeerd door de server's CSP (script-src 'self'). Dezelfde velden worden correct escaped in de tabelweergave (rowCallback), wat bevestigt dat de weglating een overzichtsfout was. Deze kwetsbaarheid is verholpen in 6.5.