V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
Pi-holeПриложениеnvd,anchore_overrides

Web Interface

Уязвимости
16
Эксплуатируемые
0
Макс. CVSS
8.9
Макс. EPSS
0.01088

Распределение по критичности

Критический
0
Высокий
5
Средний
10
Низкий
1

Затронутые диапазоны версий

4.0–5.18.36.0–6.5< 5.5< 5.6< 5.8< 6.0< 6.3< 6.4.1
Также сопоставлено как (исходные строки): ftldns,pi-hole,web_interface

Топ уязвимостей

CVE-2026-33765Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. Версии до 6.0 имеют критическую уязвимость ОС в файле savesettings.php. Приложение берет параметр, контролируемый пользователем, $_POST['webtheme'] и конкатенирует его непосредственно в системную команду, выполняемую с помощью функции exec() PHP. Поскольку вход не продезинфицируется и не проверяется перед переходом в оболочку, злоумышленник может приложить произвольные системные команды к предполагаемой команде. Кроме того, поскольку команда выполняется с привилегиями sudo, введенные команды будут работать с повышенными (вероятными корневыми) привилегиями. Версия 6.0 исправляет проблему.
CVE-2023-23614Веб-интерфейс Pi-hole® (на основе AdminLTE) предоставляет центральное расположение для управления вашим Pi-hole. Версии 4.0 и выше, до 5.18.3, уязвимы для недостаточного истечения срока действия сеанса. Неправильное использование хеша admin WEBPASSWORD в качестве значения cookie "Запомнить меня на 7 дней" позволяет злоумышленнику "передать хеш" для входа в систему или повторно использовать теоретически истекший срок действия cookie "запомнить меня". Он также раскрывает хеш в сети и без необходимости сохраняет его в браузере. Срок действия самого cookie истекает через 7 дней, но его значение останется действительным до тех пор, пока не изменится пароль администратора. Если cookie будет скомпрометирован, его можно будет использовать вечно, если не изменить пароль администратора. Злоумышленник, получивший хеш пароля через другой вектор атаки (например, уязвимость обхода пути), может использовать его для входа в систему от имени администратора, установив хеш в качестве значения cookie без необходимости взломать его для получения пароля администратора (передача хеша). Хеш раскрывается в сети и в браузере, где cookie передается и сохраняется. Эта проблема исправлена в версии 5.18.3.
CVE-2021-29448Pi-hole - это Linux-приложение для блокировки рекламы и отслеживания интернет-активности на уровне сети. Stored XSS существует на административном портале Pi-hole, который может быть использован злоумышленником с сетевым доступом к DNS-серверу. Подробности об исправлениях см. в упомянутом совете по безопасности GitHub.
CVE-2025-59151Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для рекламы на сетевом уровне и блокировки интернет-трекера. IP-hole Admin Interface до 6.3 уязвим для инъекции Carriage Return Line Feed (CRLF). Когда запрашивается файл, заканчивающийся расширением .lp, приложение выполняет перенаправление без надлежащей дезинфекции входа. Агитатор может вводить обратное и линейное соответствие символов (%0d%0a) подачи, чтобы манипулировать как заголовками, так и содержанием ответа HTTP. Это позволяет инъекции произвольных заголовков HTTP-ответа, что потенциально приводит к фиксации сеанса, отравлению кэша и ослаблению или обходу механизмов безопасности на основе браузера, таких как Политика безопасности контента или X-XSS-Protection. Эта уязвимость зафиксирована в 6.3.
CVE-2021-3706adminlte уязвим к конфиденциальным файлам cookie без флага «HttpOnly».
CVE-2026-33406Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. От 6.0 до 6.5 значения конфигурации от конечной точки /api/config помещаются непосредственно в атрибуты HTML value="" без выхода в settings-advanced.js, что позволяет вводить атрибут HTML. Двойная цитата в любом конфигурирующном значении вырывается из контекста атрибута. Исполнение JavaScript блокируется CSP сервера (script-src 'self'), но вводимые атрибуты могут изменять стиль элемента для исправления пользовательского интерфейса. Основным вектором атаки является импорт вредоносного резервного телепорта, которое обходит валидацию на стороне сервера на поле. Эта уязвимость зафиксирована в 6.5.
CVE-2026-33404Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. С 6.0 до 6,5, имена хостов клиентов и IP-адреса из базы данных FTL отображаются в DOM без побега в network.js (Сетевая страница) и charts.js/index.js (списки диаграмм Dashboard). В то время как восходя валидация в dnsmasq и FTL блокирует HTML-персонажи через обычные пути DHCP/DNS, веб-пользовательский интерфейс не выполняет выходное выходное действие - несоответствие с другими полями в том же файле, которые должным образом ускользают. Эта уязвимость зафиксирована в 6.5.
CVE-2026-33403Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. С 6.0 до 6.5 отраженная уязвимость XSS на основе DOM в taillog.js позволяет неаутентифицированному злоумышленнику вводить произвольный HTML в интерфейс администратора Pi-hole путем создания вредоносного URL. Параметр файлового запроса интерполируется в задание ininHTML без побега. Поскольку в Content-Security-Policy отсутствует директива о форме действия, вводимые элементы <формы могут эксфильтровать учетные данные к внешнему происхождению. Эта уязвимость зафиксирована в 6.5.
CVE-2021-3812Adminlte уязвим для неправильной нейтрализации ввода во время генерации веб-страницы ('Cross-site Scripting').
CVE-2021-3811Adminlte уязвим для неправильной нейтрализации ввода во время генерации веб-страницы ('Cross-site Scripting').
CVE-2026-26953Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. Версии 6.0 и выше имеют Уязвимость Хранимого HTML-инъекция в таблице активных сессий, расположенной на странице настроек API, что позволяет злоумышленнику с действительными учетными данными вводить произвольный HTML-код, который будет отображаться в браузере любого администратора, который посещает страницу активных сессий. Функция rowCallback содержит значение data.x_forwarded_for, которое непосредственно сконкалено в HTML-строку и вставлено в DOM с помощью метода jQuery .html(). Этот метод интерпретирует контент как HTML, что означает, что любые HTML-теги, присутствующие в значении, будут разбираться и отображаться браузером. Злоумышленник может использовать общие инструменты, такие как завиток, wget, Python request, Burp Suite или даже JavaScript fetch(), для отправки запроса на аутентификацию с заголовком X-Forwarded-For, который содержит вредоносный HTML-код вместо законного IP-адреса. Поскольку Pi-hole реализует политику безопасности контента (CSP), которая блокирует встроенный JavaScript, влияние ограничено чистой HTML-инъекцией без возможности выполнения скриптов. Эта проблема исправлена в версии 6.4.1.
CVE-2026-26952Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. Версии 6.4 и ниже уязвимы для хранения HTML-инъекции через страницу конфигурации локальных записей DNS, что позволяет аутентифицированному администратору вводить код, который хранится в конфигурации Pi-hole и отображается каждый раз, когда просматривается таблица записей DNS. Функция PopulateDataTable() содержит переменную данных с полным значением записи DNS точно так же, как введено пользователем и возвращенное API. Это значение вставляется непосредственно в атрибут HTML-метки данных без какого-либо побега или дезинфекции специальных символов. Когда злоумышленник поставляет значение, содержащее двойные цитаты ("), он может преждевременно "закрыть" атрибут тег данных и ввести в элемент дополнительные атрибуты HTML. Поскольку Pi-hole реализует политику безопасности контента (CSP), которая блокирует встроенный JavaScript, влияние ограничено. Эта проблема исправлена в версии 6.4.1.
CVE-2021-41175Веб-интерфейс Pi-hole (на основе AdminLTE) предоставляет центральное расположение для управления Pi-hole и просмотра статистики, генерируемой FTLDNS. До версии 5.8 возможны межсайтовые сценарии при добавлении клиента через страницу управления группами-клиентами. Эта проблема была исправлена в версии 5.8.
CVE-2025-53533Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для рекламы на сетевом уровне и блокировки интернет-трекера. Версии интерфейса админ 6.2.1 и ранее Pi-hole уязвимы для отраженного поперечного скриптинга (XSS) через уродливый URL-адрес. Страница ошибки 404 включает в себя запрошенный путь в классе атрибут тега тела без надлежащей дезинфекции или побега. Злоумышленник может создать URL-адрес, содержащий атрибут загрузки, который будет выполнять произвольный код JavaScript в браузере, когда жертва посещает вредоносную ссылку. Если злоумышленник отправляет созданную ссылку на пи-отверстие жертве, и жертва посещает ее, контролируемый злоумышленником код JavaScript выполняется в браузере жертвы. Это было исправлено в версии 6.3.
CVE-2026-33405Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. С 6.0 до 6.5 функция форматаInfo() в queries.js отображает data.upstream, data.client.ip и data.ede.text в HTML без выхода, когда пользователь расширяет строку запросов в Журнале запросов, позволяя хранить HTML-интрос. Исполнение JavaScript блокируется CSP сервера (script-src 'self'). Те же поля должным образом ускользают в представлении таблицы (rowCallback), подтверждая, что упущение было недосмотром. Эта уязвимость зафиксирована в 6.5.
CVE-2025-32785Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для рекламы на сетевом уровне и блокировки интернет-трекера. Версии интерфейса администратора Pi-hole до 6.3 уязвимы для межсетевого скриптинга (XSS) через поле Address в разделе управления группами Subscribed Lists. Аутентифицированный пользователь может впрыснуть вредоносный JavaScript, добавив полезную нагрузку в поле «адрес» при создании или редактировании записи списка. Уязвимость запускается, когда другой пользователь переходит в раздел «Инструменты» и выполняет обновление базы данных о гравитации. Поле «Доступное» не является должным образом дезинфицирующее ввод, что позволяет специальным символам и тегам сценариев обходить валидацию. Это было исправлено в версии 6.3.
Перейти к вендору →Открыть в каталоге с фильтром по продукту →