Pi-hole possui uma Injeção HTML Armazenada em queries.js

Pi-hole Admin Interface é uma interface web para gerenciar o Pi-hole, uma aplicação de bloqueio de anúncios e rastreadores de internet em nível de rede. Da versão 6.0 até antes da 6.5, a função formatInfo() em queries.js renderiza data.upstream, data.client.ip e data.ede.text em HTML sem escapar quando um usuário expande uma linha de consulta no Query Log, permitindo a injeção HTML armazenada. A execução de JavaScript é bloqueada pelo CSP (script-src 'self') do servidor. Os mesmos campos são devidamente escapados na visualização da tabela (rowCallback), confirmando que a omissão foi uma falha. Esta vulnerabilidade é corrigida na versão 6.5.