Podinfo · Podinfo · CVE-2026-43644
**Nome do Software Vulnerável e Versões Afetadas**
podinfo versões anteriores a 6.11.3
**Descrição**
Um problema de cross-site scripting refletido existe nos endpoints '/echo' e '/api/echo'. A função `echoHandler` escreve o conteúdo do corpo da requisição diretamente na resposta sem definir cabeçalhos 'Content-Type' ou 'X-Content-Type-Options' explícitos. Isso permite que atacantes utilizem páginas HTML de origens cruzadas com formulários de envio automático contendo payloads de script no corpo da requisição. Devido à detecção de tipo de conteúdo do Go, essas respostas são servidas como 'text/html', permitindo que o script seja executado no contexto de origem do podinfo quando a vítima visita a página maliciosa.
**Recomendações**
Atualize para uma versão posterior a 6.11.2.
Como medida paliativa temporária, restrinja o acesso aos endpoints '/echo' e '/api/echo' para minimizar o risco de exploração.