Katalog CVE

CVE-2026-43644

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 9 - wyżej niż 9% wszystkich znanych CVE

Streszczenie

Podinfo do wersji 6.11.2 zawiera odbitą podatność XSS w endpointach /echo i /api/echo. Funkcja echoHandler zapisuje treść żądania bezpośrednio w odpowiedzi bez ustawienia nagłówków Content-Type lub X-Content-Type-Options, co pozwala atakującym na wykonanie skryptów w kontekście pochodzenia podinfo.

Ocena ryzyka

Atakujący może nakłonić ofiarę do odwiedzenia złośliwej strony, która automatycznie wyśle żądanie z ładunkiem skryptu, co prowadzi do wykonania kodu w kontekście podinfo. Może to skutkować kradzieżą sesji, modyfikacją danych lub dalszymi atakami na użytkowników.

Rekomendacja

Zaleca się natychmiastową aktualizację podinfo do wersji nowszej niż 6.11.2. Jako tymczasowe zabezpieczenie należy skonfigurować nagłówki Content-Type i X-Content-Type-Options na serwerze lub w reverse proxy.

Oryginalny opis (angielski, źródło NVD)

podinfo through 6.11.2 contains a reflected cross-site scripting vulnerability in the /echo and /api/echo endpoints where the echoHandler writes request body content directly to the response without setting explicit Content-Type or X-Content-Type-Options headers. Attackers can craft cross-origin HTML pages with auto-submitting forms containing script payloads in the request body, which are served as text/html due to Go's content type detection, allowing the reflected script to execute in the podinfo origin context when victims visit the attacker's page.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS