漏洞关键信息 TL; DR 1. Reflective Cross-site Scripting: 远程用户可以通过注入任意Web脚本或HTML来实现针对其他用户的反射型跨站脚本攻击,攻击原因是缺少对Origin头的正确定义。 2. Session Fixation: 会话绑定漏洞让远程攻击者可以通过PHPSESSID参数劫持Web会话。 产品信息 产品名称: Pi-hole 易受攻击的版本: 5.0, 5.1, 5.1.1 组织名称: Pi-hole, LLC 产品网页: [](https://pi-hole.net/) 电子邮件: [](mailto:disclosure@pi-hole.net) 漏洞披露信息网页: [](https://pi-hole.net/contact/) 漏洞详细信息 1. 反射型跨站脚本 - 不正确的输入中性化 摘要: 远程用户由于对其提供的数据缺乏适当清理可以注入任意Web脚本或HTML,进而对其他用户实施跨站脚本攻击,该攻击可窃取会话Cookie。 前提条件: 不需要特殊配置。 CVE和CVSS评分: CVE-2020-35592 步骤和PoC 攻击者可以构造HTTP请求并发送给Pi-hole认证用户。当被发送到Origin头,该数据可以反映用户输入。 受影响的端点 URL: HTTP参数: Origin头。 2. 会话固定 - CWE-384 摘要: 会话固定漏洞允许远程攻击者通过PHPSESSID参数劫持Web会话。 前提条件: 不需要特殊配置。 CVE和CVSS评分: CVE-2020-35591 步骤和PoC 应用程序在用户登录后不会生成新的会话cookie。恶意用户可以创建一个新的会话cookie值并将其注入给受害者。当受害者登录后,注入的cookie变得有效,让攻击者通过活跃的会话访问用户的帐户。 时间线 2020年12月15日: 通过电子邮件第一次披露给disclosure@pi-hole.net 2020年12月22日: 收到产品所有者确认电子邮件 2020年12月31日: 试图通过提出修复代码建议与产品所有者合作 2021年2月16日: 发布修复版本,并在news 中发布公告并致谢:[](pi-hole.net/2021/02/16/pi-hole-ftl-v5-7-and-web-v5-4-released/) 2021年2月26日: NVD为CVE-2020-35591 and CVE-2020-35592评分5.4(中等)。