Plataforma
javascript
Componente
pi-hole/web
Corrigido em
6.0.1
CVE-2026-33405 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Pi-hole Web Interface. This vulnerability arises from improper HTML escaping within the formatInfo() function, specifically when expanding query rows in the Query Log. Attackers can inject malicious HTML, potentially leading to client-side script execution, though the server's Content Security Policy (CSP) mitigates this risk. The vulnerability impacts Pi-hole versions 6.0.0 through 6.4 and is resolved in version 6.5.0.
A vulnerabilidade CVE-2026-33405 afeta a interface web do Pi-hole em versões anteriores a 6.5.0. Permite a injeção de HTML armazenado ao expandir uma linha no Registro de Consultas (Query Log). Especificamente, a função formatInfo() em queries.js não escapa corretamente os dados data.upstream, data.client.ip e data.ede.text antes de renderizá-los em HTML. Isso significa que um atacante pode injetar código HTML malicioso nesses campos. Embora a execução de JavaScript seja bloqueada pela Política de Segurança de Conteúdo (CSP) do servidor, a injeção de HTML ainda pode causar problemas de exibição, instabilidade da interface ou, potencialmente, redirecionar usuários para sites maliciosos, dependendo de como o navegador interpreta o HTML injetado. A vulnerabilidade se limita à visualização expandida das consultas, não à visualização tabular principal, onde os dados são devidamente escapados.
Um atacante pode explorar esta vulnerabilidade se tiver a capacidade de influenciar os dados exibidos no Registro de Consultas do Pi-hole. Isso pode ocorrer se o atacante comprometer um dispositivo na rede que o Pi-hole está monitorando e que envia consultas contendo dados maliciosos. O atacante injetaria HTML malicioso nos campos data.upstream, data.client.ip ou data.ede.text dentro da consulta. Quando um administrador do Pi-hole expande a linha dessa consulta no registro, o HTML injetado será renderizado, potencialmente causando problemas de exibição ou redirecionando o usuário para um site malicioso. A eficácia da exploração depende da configuração do navegador do usuário e da capacidade do atacante de contornar as proteções do CSP.
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-33405 é atualizar o Pi-hole para a versão 6.5.0 ou superior. Esta atualização corrige o problema de escape de dados na função formatInfo(), prevenindo a injeção de HTML armazenado. Recomenda-se fortemente atualizar o Pi-hole o mais rápido possível para mitigar o risco. Se não for possível atualizar imediatamente, revise cuidadosamente o Registro de Consultas em busca de qualquer atividade suspeita. Embora o CSP bloqueie a execução de JavaScript, a injeção de HTML ainda pode ser prejudicial. Certifique-se de que seu sistema operacional e outros componentes de rede estejam atualizados com os últimos patches de segurança.
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Pi-hole é um software de código aberto que atua como um servidor DNS e bloqueador de anúncios em nível de rede.
Atualizar o Pi-hole garante que você receba as últimas correções de segurança, protegendo sua rede de vulnerabilidades como CVE-2026-33405.
Embora o CSP bloqueie a execução de JavaScript, a injeção de HTML ainda pode ter consequências, como problemas de exibição ou redirecionamentos.
Se você estiver usando uma versão do Pi-hole anterior a 6.5.0, você está vulnerável a esta vulnerabilidade.
Revise o Registro de Consultas em busca de atividade suspeita e atualize o Pi-hole para a versão mais recente o mais rápido possível.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.