Vulnerabilidad en Pi-hole Web Interface (CVE-2026-26953)

La Interfaz de administración de Pi-hole es una interfaz web para gestionar Pi-hole, una aplicación de bloqueo de anuncios y rastreadores de internet a nivel de red. Las versiones 6.0 y superiores tienen una vulnerabilidad de inyección HTML almacenada en la tabla de sesiones activas ubicada en la página de configuración de la API, permitiendo a un atacante con credenciales válidas inyectar código HTML arbitrario que se renderizará en el navegador de cualquier administrador que visite la página de sesiones activas. La función rowCallback contiene el valor data.x_forwarded_for, que se concatena directamente en una cadena HTML y se inserta en el DOM utilizando el método .html() de jQuery. Este método interpreta el contenido como HTML, lo que significa que cualquier etiqueta HTML presente en el valor será analizada y renderizada por el navegador. Un atacante puede usar herramientas comunes como curl, wget, Python requests, Burp Suite, o incluso JavaScript fetch() para enviar una solicitud de autenticación con una cabecera X-Forwarded-For que contiene código HTML malicioso en lugar de una dirección IP legítima. Dado que Pi-hole implementa una Política de Seguridad de Contenido (CSP) que bloquea JavaScript en línea, el impacto se limita a la inyección de HTML puro sin la capacidad de ejecutar scripts. Este problema ha sido solucionado en la versión 6.4.1.