CVE-2026-33403Pi-hole Admin Interface在6.0至6.5之前的版本中存在一处安全缺陷,具体为反射型DOM-based XSS漏洞。该漏洞位于taillog.js组件内,允许未经身份验证的攻击者通过精心设计的特制URL进行攻击。攻击者利用该漏洞可以在管理界面中注入任意HTML内容。由于系统现有的内容安全策略(CSP)配置不完整,缺少关键的form-action指令,攻击者注入的表单元素能够绕过部分防御,将用户的敏感凭证(如登录令牌)窃取并传输至外部服务器。尽管攻击需要用户交互,但其潜在风险不容忽视。
该漏洞的核心成因在于taillog.js对用户输入处理的不严谨。具体来说,脚本直接从URL查询参数中获取file参数的值,并将其未经任何转义或过滤地赋值给DOM元素的innerHTML属性。这种反射型DOM XSS允许攻击者控制页面内容。更严重的是,由于CSP策略中未包含form-action指令,攻击者可以构造恶意的HTML表单。通常CSP会限制表单提交的目标地址,但该配置缺失使得攻击者能够将数据POST到任意第三方域名。结合自动提交的JavaScript代码,攻击者可以在管理员访问恶意链接时,悄无声息地捕获并外带管理员的Session ID或其他认证凭证,从而接管Pi-hole管理权限。