Plataforma
javascript
Componente
pi-hole/web
Corrigido em
6.0.1
A vulnerabilidade CVE-2026-33406 afeta a interface web do Pi-hole, uma aplicação de bloqueio de anúncios e rastreadores em nível de rede. A falha permite a injeção de atributos HTML, possibilitando a alteração do estilo da interface do usuário. Essa vulnerabilidade impacta versões do Pi-hole Web Interface entre 6.0.0 (inclusive) e 6.5 (exclusivo). A correção foi implementada na versão 6.5.0.
Um atacante pode explorar essa vulnerabilidade injetando atributos HTML maliciosos através dos valores de configuração expostos no endpoint /api/config. Como os valores de configuração não são devidamente escapados antes de serem inseridos em atributos HTML em settings-advanced.js, um atacante pode quebrar o contexto do atributo com o uso de aspas duplas. Embora a execução de JavaScript seja bloqueada pela política de segurança de conteúdo (CSP) do servidor, a injeção de atributos permite a alteração do estilo da interface do usuário, possibilitando o UI redressing (redirecionamento visual). A descrição da vulnerabilidade menciona a importação de um teleporte malicioso como vetor de ataque primário, sugerindo a possibilidade de redirecionamento para sites maliciosos ou a exibição de conteúdo enganoso.
A vulnerabilidade foi divulgada em 2026-04-06. Não há informações disponíveis sobre a inclusão em KEV ou a existência de um EPSS score. Atualmente, não há conhecimento público de um proof-of-concept (PoC) ativo ou campanhas de exploração em andamento. A vulnerabilidade é considerada de severidade média (CVSS 5.4).
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33406 é a atualização para a versão 6.5.0 do Pi-hole Web Interface, que corrige a vulnerabilidade de injeção de atributos HTML. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para bloquear o acesso ao endpoint /api/config, restringindo o acesso apenas a fontes confiáveis. Monitore os logs do Pi-hole em busca de padrões suspeitos de requisições ao endpoint /api/config com valores de configuração incomuns. Após a atualização, verifique a integridade da instalação do Pi-hole para garantir que a versão corrigida foi aplicada corretamente.
Atualize a interface web do Pi-hole para a versão 6.5 ou superior para mitigar a vulnerabilidade de injeção de atributos HTML. Esta atualização corrige o problema ao escapar corretamente os valores de configuração no arquivo settings-advanced.js, prevenindo a manipulação da interface do usuário.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Pi-hole is an open-source software that functions as a DNS server and network-level ad and tracker blocker.
It's an attack technique that allows an attacker to insert malicious HTML code into a web page, which can alter its appearance or behavior.
Although arbitrary code execution is unlikely, the vulnerability could allow an attacker to manipulate the Pi-hole admin interface, potentially leading to confusion or alteration of settings.
If you cannot update immediately, ensure the Pi-hole web interface is protected with a strong password and is only accessible from a trusted local network.
You can find more information about CVE-2026-33406 in vulnerability databases, such as the National Vulnerability Database (NVD).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.