Pi-hole possui uma injeção de atributo HTML armazenado

A Pi-hole Admin Interface é uma interface web para gerenciar o Pi-hole, uma aplicação de bloqueio de anúncios e rastreadores de internet em nível de rede. Da versão 6.0 até antes da 6.5, valores de configuração do endpoint /api/config são colocados diretamente em atributos HTML value="" sem escape em settings-advanced.js, permitindo a injeção de atributos HTML. Uma aspa dupla em qualquer valor de configuração sai do contexto do atributo. A execução de JavaScript é bloqueada pelo CSP (script-src 'self') do servidor, mas atributos injetados podem alterar o estilo do elemento para redimensionamento da interface do usuário. O vetor de ataque primário é importar um backup de teletransportador malicioso, que ignora a validação server-side por campo. Esta vulnerabilidade é corrigida na versão 6.5.