关键信息 漏洞名称:Stored HTML Injection in Pi-hole Web Interface via X-Forwarded-For Header in Active Sessions Table CVE ID:CVE-2026-26953 CVSSv3 基础分数:5.4/10 受影响的版本:>=6.0 漏洞描述 攻击向量:Network 攻击复杂度:Low 所需权限:Low 用户交互:None 作用域:Unchanged 机密性:None 完整性:Low 可用性:Low 细节 问题代码: 攻击向量:攻击者可以在认证请求中包含一个包含恶意 HTML 内容的 X-Forwarded-For 头。 证明概念(PoC) 影响 成功利用此漏洞允许攻击者向任何管理员的浏览器注入任意 HTML 代码,造成多种攻击向量,包括 UI spoofing、隐藏恶意活动、内部钓鱼和心理操纵等。 由于 Pi-hole 实施了 Content Security Policy (CSP),禁止内联 JavaScript,因此影响仅限于纯粹的 HTML 注入,而无法执行脚本。但在 CSP 配置较松或被禁用时,此漏洞可能升级为全 Cross-Site Scripting (XSS),允许劫持会话、泄露 DNS 配置数据或未经管理员同意修改配置。