Pi-hole possui uma Stored XSS / Injeção de HTML na página de Rede/Painel

A Interface de Administração Pi-hole é uma interface web para gerenciar o Pi-hole, uma aplicação de bloqueio de anúncios e rastreadores de internet em nível de rede. Da versão 6.0 até antes da 6.5, os nomes de host e endereços IP dos clientes do banco de dados FTL são renderizados no DOM sem escaping em network.js (Página de Rede) e charts.js/index.js (Dicas de ferramenta do gráfico do Painel). Embora a validação upstream no dnsmasq e FTL bloqueie caracteres HTML por meio de caminhos DHCP/DNS normais, a interface web não realiza escaping de saída — uma inconsistência com outros campos no mesmo arquivo que são escapados corretamente. Esta vulnerabilidade é corrigida na versão 6.5.