Pi-hole 存在一个存储的 HTML 属性注入漏洞

Pi-hole Admin Interface 是一个用于管理 Pi-hole 的 Web 界面，Pi-hole 是一个网络级别的广告和互联网跟踪器拦截应用程序。从 6.0 到 6.5 之前，/api/config 端点中的配置值直接放置到 settings-advanced.js 中的 HTML value="" 属性中，而没有进行转义，从而允许 HTML 属性注入。任何配置值中的双引号都会跳出属性上下文。服务器的 CSP (script-src 'self') 阻止了 JavaScript 执行，但注入的属性可以更改元素样式以进行 UI 重新调整。主要攻击向量是导入恶意的 teleporter 备份，这绕过了每个字段的服务器端验证。此漏洞在 6.5 中已修复。