podinfo through 6.11.2 contains a reflected cross-site scripting vulnerability in the /echo and /api/echo endpoints where the echoHandler writes request body content directly to the response without setting explicit Content-Type or X-Content-Type-Options headers. Attackers can craft cross-origin HTML pages with auto-submitting forms containing script payloads in the request body, which are served as text/html due to Go's content type detection, allowing the reflected script to execute in the podinfo origin context when victims visit the attacker's page.
Podinfo versions up to 6.11.2 contain a reflected XSS vulnerability in the /echo and /api/echo endpoints where request body content is returned without proper Content-Type headers, allowing attackers to execute scripts in the application context. The vulnerability exploits Go's automatic content type detection to serve malicious HTML payloads as text/html, enabling cross-origin script execution when users visit attacker-controlled pages.
تحتوي نقاط نهاية /echo و /api/echo في podinfo على ثغرة XSS منعكسة حيث يتم كتابة محتوى جسم الطلب مباشرة في الاستجابة دون تعيين رؤوس Content-Type أو X-Content-Type-Options صريحة. يمكن للمهاجمين صياغة صفحات HTML عبر الأصول مع نماذج ذاتية الإرسال تحتوي على حمولات برامج نصية في جسم الطلب، والتي يتم تقديمها كـ text/html بسبب كشف نوع المحتوى في Go.
Podinfo إصدارات حتى 6.11.2 تحتوي على ثغرة XSS منعكسة في نقاط نهاية /echo و /api/echo حيث يتم إرجاع محتوى جسم الطلب دون رؤوس Content-Type مناسبة. تستغل الثغرة كشف نوع المحتوى التلقائي في Go لتقديم حمولات HTML ضارة كـ text/html، مما يتيح تنفيذ البرامج النصية عبر الأصول عندما يزور المستخدمون صفحات يتحكم بها المهاجم.
Upgrade podinfo to version 6.11.3 or later immediately. Implement explicit Content-Type: text/plain headers in echo endpoint responses and set X-Content-Type-Options: nosniff headers to prevent content type sniffing. Apply input validation and output encoding to all user-controlled data returned in responses.
قم بترقية podinfo إلى الإصدار 6.11.3 أو أحدث فوراً. قم بتنفيذ رؤوس Content-Type: text/plain صريحة في استجابات نقطة نهاية echo وقم بتعيين رؤوس X-Content-Type-Options: nosniff لمنع كشف نوع المحتوى. طبق التحقق من صحة الإدخال وترميز الإخراج على جميع البيانات التي يتحكم بها المستخدم والمرجعة في الاستجابات.