V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-33406
ANC
Средний

Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. О…

CVSS
6.1
Средний
EPSS
0.00
p16
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Pi-hole Admin Interface - это веб-интерфейс для управления Pi-hole, приложением для блокировки рекламы на уровне сети и интернет-трекера. От 6.0 до 6.5 значения конфигурации от конечной точки /api/config помещаются непосредственно в атрибуты HTML value="" без выхода в settings-advanced.js, что позволяет вводить атрибут HTML. Двойная цитата в любом конфигурирующном значении вырывается из контекста атрибута. Исполнение JavaScript блокируется CSP сервера (script-src 'self'), но вводимые атрибуты могут изменять стиль элемента для исправления пользовательского интерфейса. Основным вектором атаки является импорт вредоносного резервного телепорта, которое обходит валидацию на стороне сервера на поле. Эта уязвимость зафиксирована в 6.5.

Теги · CWE
Без аутентификацииXSS
CWE-79
CAPEC-63
CAPEC-85
CAPEC-209
CAPEC-588
CAPEC-591
CAPEC-592
Затронутые продукты
Web_interface 6.0–6.4.1
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: R
Требуется (R)
Область воздействия
S: C
Изменена (C)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.003 · p16
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
Отслеживается
web_interface*Отслеживается
Источники данных
ANC
CVE