CVE-2026-33406Pi-hole Admin Interface 6.0至6.5之前版本存在HTML属性注入漏洞。由于在settings-advanced.js中对/api/config端点返回的配置值未进行转义处理,直接将其放入HTML value属性中,攻击者可利用恶意Teleporter备份绕过服务端验证注入恶意属性。尽管CSP阻止了脚本执行,但攻击者仍可修改元素样式进行UI重整攻击。
该漏洞位于Pi-hole Admin Interface的settings-advanced.js组件中。当系统从/api/config端点获取配置值时,未对数据进行适当的HTML实体编码,直接将其渲染到HTML标签的value=""属性内。攻击者可以在配置值中插入双引号("),从而闭合当前属性并注入新的HTML属性(如style)。虽然服务器的CSP策略(script-src 'self')有效阻止了恶意JavaScript脚本的执行,避免了传统的存储型XSS,但注入的CSS样式属性仍可用于点击劫持或界面伪装(UI Redressing)。主要的攻击路径是通过导入包含恶意Payload的Teleporter备份文件,该文件导入过程会绕过常规的单个字段服务器端验证,导致恶意配置被写入数据库并随后在前端被解析。