CVE-2026-43644

Nome do Software Vulnerável e Versões Afetadas podinfo versões anteriores a 6.11.3

Descrição Um problema de cross-site scripting refletido existe nos endpoints '/echo' e '/api/echo'. A função echoHandler escreve o conteúdo do corpo da requisição diretamente na resposta sem definir cabeçalhos 'Content-Type' ou 'X-Content-Type-Options' explícitos. Isso permite que atacantes utilizem páginas HTML de origens cruzadas com formulários de envio automático contendo payloads de script no corpo da requisição. Devido à detecção de tipo de conteúdo do Go, essas respostas são servidas como 'text/html', permitindo que o script seja executado no contexto de origem do podinfo quando a vítima visita a página maliciosa.

Recomendações Atualize para uma versão posterior a 6.11.2. Como medida paliativa temporária, restrinja o acesso aos endpoints '/echo' e '/api/echo' para minimizar o risco de exploração.