Интерфейс администратора Pi-hole — это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы и интернет-трекеров на сетевом уровне. Начиная с версии 6.0 до версии 6.5, имена хостов и IP-адреса клиентов из базы данных FTL отображаются в DOM без экранирования в network.js (страница «Сеть») иcharts.js/index.js (подсказки диаграмм информационной панели). Хотя восходящая проверка в dnsmasq и FTL блокирует символы HTML по обычным путям DHCP/DNS, веб-интерфейс не выполняет экранирование вывода — это несовместимо с другими полями в том же файле, которые экранированы правильно.
Эта уязвимость исправлена в версии 6.5.
Показать оригинальное описание (EN)
Pi-hole Admin Interface is a web interface for managing Pi-hole, a network-level ad and internet tracker blocking application. From 6.0 to before 6.5, client hostnames and IP addresses from the FTL database are rendered into the DOM without escaping in network.js (Network page) and charts.js/index.js (Dashboard chart tooltips). While upstream validation in dnsmasq and FTL blocks HTML characters via normal DHCP/DNS paths, the web UI performs no output escaping — an inconsistency with other fields in the same file that are properly escaped. This vulnerability is fixed in 6.5.
Характеристики атаки
Последствия
Строка CVSS v3.1