CVE-2026-33404 描述了 Pi-hole Web Interface 中的一个跨站脚本攻击 (XSS) 漏洞。该漏洞允许攻击者将恶意脚本注入到 Pi-hole Web 界面中,从而可能导致信息泄露或会话劫持。此漏洞影响 Pi-hole Web Interface 6.0.0 及以上,小于 6.5 的版本。该漏洞已在 6.5.0 版本中修复。
攻击者可以利用此 XSS 漏洞在受感染的 Pi-hole Web 界面中注入恶意 JavaScript 代码。这可能导致攻击者窃取用户的 Cookie 和会话信息,从而冒充用户执行未经授权的操作。此外,攻击者还可以利用此漏洞重定向用户到恶意网站,或在 Pi-hole Web 界面中显示虚假信息。由于 Pi-hole 经常用于家庭和小型企业网络,因此此漏洞可能对网络安全构成威胁,攻击者可能通过控制 Pi-hole 来影响整个网络的流量。
目前尚未公开发现利用此漏洞的公开可用的 PoC。CISA 尚未将其添加到 KEV 目录。根据 CVSS 评分为低危,该漏洞的利用概率较低,但仍应尽快修复,以避免潜在的安全风险。此漏洞的发现和修复时间相对较近,因此需要持续关注是否有新的利用技术出现。
漏洞利用状态
EPSS
0.02% (6% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Pi-hole Web Interface 升级至 6.5.0 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤潜在的 XSS 攻击。此外,应定期审查 Pi-hole 的配置,确保其安全性。由于此漏洞涉及客户端数据的渲染,因此在升级过程中,务必检查升级后的界面是否正确显示客户端信息,确保没有新的 XSS 风险。升级后,请验证客户端主机名和 IP 地址在网络页面和仪表盘图表工具提示中是否已正确转义。
将 Pi-hole Web 界面升级到 6.5 或更高版本以缓解 XSS 漏洞。此更新正确转义输入数据,从而防止恶意代码注入到网络页面和仪表盘图表工具提示中。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33404 描述了 Pi-hole Web Interface 6.0.0 及以上,小于 6.5 版本中的一个跨站脚本攻击 (XSS) 漏洞,攻击者可以注入恶意脚本。
如果您正在使用 Pi-hole Web Interface 6.0.0 及以上,小于 6.5 的版本,则可能受到此漏洞的影响。
将 Pi-hole Web Interface 升级至 6.5.0 或更高版本以修复此漏洞。
目前尚未公开发现利用此漏洞的公开可用的 PoC,但仍应尽快修复。
请访问 Pi-hole 官方网站或安全公告页面,查找有关 CVE-2026-33404 的详细信息。