CVE-2026-33405 is a stored Cross-Site Scripting (XSS) vulnerability affecting the Pi-hole Web Interface. This vulnerability arises from improper HTML escaping within the formatInfo() function, specifically when expanding query rows in the Query Log. Attackers can inject malicious HTML, potentially leading to client-side script execution, though the server's Content Security Policy (CSP) mitigates this risk. The vulnerability impacts Pi-hole versions 6.0.0 through 6.4 and is resolved in version 6.5.0.
CVE-2026-33405 影响了 6.5.0 之前的 Pi-hole Web 界面。它允许在查询日志 (Query Log) 中展开行时发生存储的 HTML 注入。具体来说,queries.js 中的 formatInfo() 函数在将 data.upstream、data.client.ip 和 data.ede.text 渲染为 HTML 之前,没有正确地对其进行转义。这意味着攻击者可以将恶意 HTML 代码注入到这些字段中。虽然服务器的内容安全策略 (CSP) 阻止了 JavaScript 的执行,但 HTML 注入仍然可能导致显示问题、界面不稳定,或者潜在地将用户重定向到恶意网站,这取决于浏览器如何解释注入的 HTML。此漏洞仅限于查询的展开视图,而不是数据已正确转义的主表视图。
如果攻击者能够影响 Pi-hole 查询日志中显示的数据,则攻击者可以利用此漏洞。这可能发生在攻击者破坏了 Pi-hole 正在监控的网络上的设备,并且该设备发送包含恶意数据的查询时。攻击者会将恶意 HTML 注入到查询中的 data.upstream、data.client.ip 或 data.ede.text 字段中。当 Pi-hole 管理员在日志中展开该查询的行时,将渲染注入的 HTML,从而可能导致显示问题或将用户重定向到恶意网站。利用的有效性取决于用户的浏览器配置以及攻击者绕过 CSP 保护的能力。
Administrators and users of Pi-hole installations running versions 6.0.0 through 6.4 are at risk. Shared hosting environments where multiple users share a single Pi-hole instance are particularly vulnerable, as an attacker could potentially inject malicious HTML affecting all users of that instance. Users relying on Pi-hole for network-level ad blocking and security should prioritize upgrading to the patched version.
• linux / server: Examine Pi-hole access logs for unusual HTML content within Query Log entries. Use grep to search for HTML tags (e.g., <script>, <iframe>) within the data.upstream, data.client.ip, and data.ede.text fields.
grep -i '<script' /var/log/pihole/pihole.log
grep -i '<iframe>' /var/log/pihole/pihole.log• generic web: Use curl to inspect the Query Log and look for unescaped HTML.
curl 'http://pihole-web-interface/admin/query-log' | grep -i '<script'disclosure
patch
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
CVE-2026-33405 的解决方案是将 Pi-hole 更新到 6.5.0 或更高版本。此更新更正了 formatInfo() 函数中的数据转义问题,从而防止了存储的 HTML 注入。强烈建议尽快更新 Pi-hole 以降低风险。如果无法立即更新,请仔细检查查询日志是否存在任何可疑活动。虽然 CSP 阻止了 JavaScript 的执行,但 HTML 注入仍然可能有害。确保您的操作系统和其他网络组件也已使用最新的安全补丁进行更新。
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de HTML almacenado. Esta actualización corrige la falta de escape de datos sensibles en la función formatInfo(), previniendo la ejecución de código malicioso.
漏洞分析和关键警报直接发送到您的邮箱。
Pi-hole 是一种充当 DNS 服务器和网络级别广告和跟踪器拦截器的开源软件。
更新 Pi-hole 可确保您接收到最新的安全补丁,从而保护您的网络免受 CVE-2026-33405 等漏洞的影响。
虽然 CSP 阻止了 JavaScript 的执行,但 HTML 注入仍然可能导致显示问题或重定向等后果。
如果您使用的是 6.5.0 之前的 Pi-hole 版本,则会受到此漏洞的影响。
检查查询日志是否存在任何可疑活动,并尽快将 Pi-hole 更新到最新版本。