CVE-2026-43644podinfo 6.11.2及之前版本存在反射型跨站脚本(XSS)漏洞。该漏洞位于/echo和/api/echo端点,由于echoHandler在回显请求体内容时未显式设置Content-Type或X-Content-Type-Options头部,Go的内容类型检测机制会将响应作为text/html处理。攻击者可诱导受害者访问包含恶意载荷的跨源页面,利用自动提交表单触发漏洞,从而在受害者的浏览器中以podinfo源上下文执行任意脚本代码,窃取敏感信息或进行恶意操作。
该漏洞的根本原因在于podinfo的echoHandler函数在处理/echo和/api/echo请求时,直接将请求体中的内容写入HTTP响应,且未设置Content-Type为text/plain或添加X-Content-Type-Options: nosniff安全响应头。在Go语言的标准库中,当检测到响应内容包含HTML标签时,会自动将Content-Type设置为text/html。攻击者利用这一特性,构造一个包含自动提交表单的恶意HTML页面。表单的action属性指向受害者的podinfo服务端点(如/echo),并在表单字段中注入JavaScript恶意载荷(如<script>alert(document.cookie)</script>)。当受害者访问攻击者控制的页面时,表单会自动提交,载荷被发送至podinfo服务。podinfo服务将载荷作为响应体返回,由于响应被浏览器解析为HTML,嵌入的脚本将在受害者的浏览器上下文中执行。由于是反射型XSS,攻击者需要通过社会工程学手段诱导用户点击链接,无需认证即可利用。