Интерфейс администратора Pi-hole — это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы и интернет-трекеров на сетевом уровне. Интерфейс администратора Pi-hole версии 6.2.1 и более ранних уязвим для отраженного межсайтового скриптинга (XSS) через неверный URL-адрес. Страница ошибки 404 включает запрошенный путь в атрибуте class тега body без надлежащей очистки или экранирования.
Злоумышленник может создать URL-адрес, содержащий атрибут onload, который будет выполнять произвольный код JavaScript в браузере, когда жертва посещает вредоносную ссылку. Если злоумышленник отправляет жертве созданную ссылку на пи-хол, и жертва посещает ее, контролируемый злоумышленником код JavaScript выполняется в браузере жертвы. Это исправлено в версии 6.3.
Показать оригинальное описание (EN)
Pi-hole Admin Interface is a web interface for managing Pi-hole, a network-level advertisement and internet tracker blocking application. Pi-hole Admin Interface versions 6.2.1 and earlier are vulnerable to reflected cross-site scripting (XSS) via a malformed URL path. The 404 error page includes the requested path in the class attribute of the body tag without proper sanitization or escaping. An attacker can craft a URL containing an onload attribute that will execute arbitrary JavaScript code in the browser when a victim visits the malicious link. If an attacker sends a crafted pi-hole link to a victim and the victim visits it, attacker-controlled JavaScript code is executed in the browser of the victim. This has been patched in version 6.3.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pi-Hole Web_Interface
cpe:2.3:a:pi-hole:web_interface:*:*:*:*:*:*:*:*
|
— |
6.3
|