Интерфейс администратора Pi-hole — это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы и интернет-трекеров на сетевом уровне. Версии интерфейса администратора Pi-hole до 6.3 уязвимы для межсайтового скриптинга (XSS) через поле «Адрес» в разделе управления группой списков подписки. Аутентифицированный пользователь может внедрить вредоносный код JavaScript, добавив полезные данные в поле «Адрес» при создании или редактировании записи списка.
Уязвимость срабатывает, когда другой пользователь переходит в раздел «Инструменты» и выполняет обновление базы данных гравитации. Поле «Адрес» не очищает должным образом вводимые данные, что позволяет специальным символам и тегам сценария обходить проверку. Это исправлено в версии 6.3.
Показать оригинальное описание (EN)
Pi-hole Admin Interface is a web interface for managing Pi-hole, a network-level advertisement and internet tracker blocking application. Pi-hole Admin Interface versions prior to 6.3 are vulnerable to cross-site scripting (XSS) via the Address field in the Subscribed Lists group management section. An authenticated user can inject malicious JavaScript by adding a payload to the Address field when creating or editing a list entry. The vulnerability is triggered when another user navigates to the Tools section and performs a gravity database update. The Address field does not properly sanitize input, allowing special characters and script tags to bypass validation. This has been patched in version 6.3.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pi-Hole Web_Interface
cpe:2.3:a:pi-hole:web_interface:*:*:*:*:*:*:*:*
|
— |
6.3
|