Plataforma
javascript
Componente
pi-hole/web
Corrigido em
6.0.1
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta na interface web do Pi-hole, um software de bloqueio de anúncios e rastreadores em nível de rede. Essa falha permite que atacantes injetem scripts maliciosos no navegador de usuários, potencialmente comprometendo suas sessões e roubando informações sensíveis. A vulnerabilidade afeta as versões 6.0.0 até a 6.5 e foi corrigida na versão 6.5.0.
A exploração bem-sucedida desta vulnerabilidade XSS permite que um atacante execute código JavaScript arbitrário no contexto do navegador de um usuário conectado à rede protegida pelo Pi-hole. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos ou até mesmo à modificação da interface do Pi-hole para fins de phishing. O impacto é amplificado em ambientes onde a interface web do Pi-hole é amplamente utilizada para gerenciamento e monitoramento da rede, pois um atacante pode obter acesso a informações confidenciais sobre a configuração e o tráfego da rede. Embora a severidade seja classificada como baixa, a facilidade de exploração e o potencial para impacto em múltiplos usuários tornam esta vulnerabilidade uma preocupação significativa.
Esta vulnerabilidade foi divulgada publicamente em 6 de abril de 2026. Não há indicações de que esteja sendo ativamente explorada em campanhas direcionadas, mas a natureza de XSS a torna um alvo potencial para ataques oportunistas. A ausência de um Proof of Concept (PoC) público amplamente divulgado pode limitar a exploração imediata, mas a facilidade de exploração inerente a XSS significa que um PoC pode surgir a qualquer momento. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA até o momento.
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Pi-hole para a versão 6.5.0 ou superior, que inclui a correção para o problema de escaping. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para bloquear solicitações suspeitas que contenham caracteres especiais nos parâmetros de nome e IP do cliente. Além disso, monitore os logs do Pi-hole em busca de atividades incomuns ou tentativas de injeção de script. Após a atualização, verifique se a interface web do Pi-hole está funcionando corretamente e se os nomes e IPs dos clientes estão sendo exibidos de forma segura.
Atualize a interface web do Pi-hole para a versão 6.5 ou superior para mitigar a vulnerabilidade de XSS. Esta atualização escapa corretamente os dados de entrada, prevenindo a injeção de código malicioso na página de rede e nas dicas de ferramentas do gráfico do painel de controle.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Pi-hole is an open-source DNS server and network-level ad blocker.
Updating Pi-hole ensures that the latest security patches are applied, protecting your network from vulnerabilities like CVE-2026-33404.
You can update Pi-hole using the pihole -up command in the command line or through the Pi-hole web admin interface.
Change Pi-hole and any related account passwords, review Pi-hole logs for suspicious activity, and consider reinstalling Pi-hole from scratch.
While not a complete solution, you can limit access to the Pi-hole web interface and restrict the IP addresses that can access it.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.