CVE-2026-33406 is a vulnerability affecting the Pi-hole Admin Interface, the web interface for managing the Pi-hole network ad blocker. This flaw allows for HTML attribute injection, potentially enabling UI redressing attacks by altering element styling. The vulnerability impacts versions 6.0.0 through 6.4.99. A patch is available in version 6.5.0.
CVE-2026-33406 影响 Pi-hole 的 Web 界面,Pi-hole 是一个网络级别的广告和互联网追踪器拦截应用程序。在 6.0 版本到 6.5 版本之前,从 /api/config 端点检索的配置值会直接放置在 settings-advanced.js 文件中的 HTML 'value=' 属性中,而没有进行转义。这使得 HTML 属性注入成为可能。任何配置值中的双引号都会打破属性上下文。虽然服务器的 内容安全策略 (CSP) (script-src 'self') 阻止了 JavaScript 的执行,但注入的属性可用于操纵页面的行为,尽管任意代码执行的可能性较低。此漏洞可能允许攻击者修改 Pi-hole 管理界面的外观或行为,从而可能欺骗用户或更改设置。
具有 Pi-hole Web 界面访问权限的攻击者(例如,通过受损的本地网络或如果 Web 界面在没有适当保护的情况下公开访问)可以利用此漏洞。攻击者可以将恶意 HTML 属性注入到配置值中,从而可能导致管理界面被操纵。虽然 JavaScript 的执行被阻止,但属性注入可用于执行网络钓鱼攻击或更改信息的显示,从而使管理员感到困惑。由于 CSP 施加的限制,此漏洞的严重程度被认为是中等,但界面操作的可能性证明了更新的必要性。
漏洞利用状态
EPSS
0.04% (12% 百分位)
CISA SSVC
CVSS 向量
此漏洞的修复方法是将 Pi-hole 升级到 6.5.0 或更高版本。此版本包含修复程序,这些修复程序会在将配置值插入 HTML 属性之前正确转义配置值,从而降低属性注入的风险。强烈建议尽快升级 Pi-hole 以保护您的网络免受潜在攻击。定期检查 Pi-hole 更新并及时应用。升级是解决此漏洞并维护 Pi-hole 系统安全性的最有效方法。
Actualice la interfaz web de Pi-hole a la versión 6.5 o superior para mitigar la vulnerabilidad de inyección de atributos HTML. Esta actualización corrige el problema al escapar correctamente los valores de configuración en el archivo settings-advanced.js, previniendo la manipulación de la interfaz de usuario.
漏洞分析和关键警报直接发送到您的邮箱。
Pi-hole 是一种开源软件,用作 DNS 服务器和网络级别的广告和追踪器拦截器。
这是一种攻击技术,允许攻击者将恶意 HTML 代码注入到 Web 页面中,从而可以更改其外观或行为。
虽然任意代码执行的可能性较低,但此漏洞可能允许攻击者操纵 Pi-hole 管理界面,从而导致混乱或更改设置。
如果无法立即更新 Pi-hole,请确保 Pi-hole Web 界面受到强密码的保护,并且只能从受信任的本地网络访问。
您可以在漏洞数据库(例如国家漏洞数据库 (NVD))中找到有关 CVE-2026-33406 的更多信息。