Интерфейс администратора Pi-hole — это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы и интернет-трекеров на сетевом уровне. Начиная с версии 6.0 до версии 6.5, функция formatInfo() в query.js отображает data.upstream, data.client.ip и data.ede.text в HTML без экранирования, когда пользователь расширяет строку запроса в журнале запросов, что позволяет внедрить сохраненный HTML. Выполнение JavaScript блокируется CSP сервера (script-src «self»).
Те же поля корректно экранируются в представлении таблицы (rowCallback), что подтверждает, что пропуск был допущен по недосмотру. Эта уязвимость исправлена в версии 6.5.
Показать оригинальное описание (EN)
Pi-hole Admin Interface is a web interface for managing Pi-hole, a network-level ad and internet tracker blocking application. From 6.0 to before 6.5, the formatInfo() function in queries.js renders data.upstream, data.client.ip, and data.ede.text into HTML without escaping when a user expands a query row in the Query Log, enabling stored HTML injection. JavaScript execution is blocked by the server's CSP (script-src 'self'). The same fields are properly escaped in the table view (rowCallback), confirming the omission was an oversight. This vulnerability is fixed in 6.5.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pi-Hole Web_Interface
cpe:2.3:a:pi-hole:web_interface:*:*:*:*:*:*:*:*
|
6.0
|
<= 6.4.1
|