الثغرات ›

CVE-2026-43644

متوسط

CWE-79 — نوع الضعف

                    نُشر: May 14, 2026                      ·  آخر تحديث: May 17, 2026                      ·  المصدر: NVD                

CVSS v3

5.4

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

podinfo through 6.11.2 contains a reflected cross-site scripting vulnerability in the /echo and /api/echo endpoints where the echoHandler writes request body content directly to the response without setting explicit Content-Type or X-Content-Type-Options headers. Attackers can craft cross-origin HTML pages with auto-submitting forms containing script payloads in the request body, which are served as text/html due to Go's content type detection, allowing the reflected script to execute in the podinfo origin context when victims visit the attacker's page.

🤖 ملخص AI

Podinfo versions up to 6.11.2 contain a reflected XSS vulnerability in the /echo and /api/echo endpoints where request body content is returned without proper Content-Type headers, allowing attackers to execute scripts in the application context. The vulnerability exploits Go's automatic content type detection to serve malicious HTML payloads as text/html, enabling cross-origin script execution when users visit attacker-controlled pages.

📄 الوصف (العربية)

تحتوي نقاط نهاية /echo و /api/echo في podinfo على ثغرة XSS منعكسة حيث يتم كتابة محتوى جسم الطلب مباشرة في الاستجابة دون تعيين رؤوس Content-Type أو X-Content-Type-Options صريحة. يمكن للمهاجمين صياغة صفحات HTML عبر الأصول مع نماذج ذاتية الإرسال تحتوي على حمولات برامج نصية في جسم الطلب، والتي يتم تقديمها كـ text/html بسبب كشف نوع المحتوى في Go.

🤖 ملخص تنفيذي (AI)

Podinfo إصدارات حتى 6.11.2 تحتوي على ثغرة XSS منعكسة في نقاط نهاية /echo و /api/echo حيث يتم إرجاع محتوى جسم الطلب دون رؤوس Content-Type مناسبة. تستغل الثغرة كشف نوع المحتوى التلقائي في Go لتقديم حمولات HTML ضارة كـ text/html، مما يتيح تنفيذ البرامج النصية عبر الأصول عندما يزور المستخدمون صفحات يتحكم بها المهاجم.

🤖 التحليل الذكي آخر تحليل: May 28, 2026 06:33

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: medium

🏢 القطاعات السعودية المتأثرة

government telecom banking healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1598 T1566

⚖️ درجة المخاطر السعودية (AI)

5.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade podinfo to version 6.11.3 or later immediately. Implement explicit Content-Type: text/plain headers in echo endpoint responses and set X-Content-Type-Options: nosniff headers to prevent content type sniffing. Apply input validation and output encoding to all user-controlled data returned in responses.

🔧 خطوات المعالجة (العربية)

قم بترقية podinfo إلى الإصدار 6.11.3 أو أحدث فوراً. قم بتنفيذ رؤوس Content-Type: text/plain صريحة في استجابات نقطة نهاية echo وقم بتعيين رؤوس X-Content-Type-Options: nosniff لمنع كشف نوع المحتوى. طبق التحقق من صحة الإدخال وترميز الإخراج على جميع البيانات التي يتحكم بها المستخدم والمرجعة في الاستجابات.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1.1 5.2.1

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 المراجع والمصادر 3

🔗

https://github.com/Niccolo10/Security-Advisories/blob/main/CVE-2026-43644/cve-2026-4364...

disclosure@vulncheck.com

🔗

https://github.com/stefanprodan/podinfo/issues/474

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/podinfo-reflected-xss-via-echo-endpoint

disclosure@vulncheck.com

📊 CVSS Score

5.4

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 حقائق سريعة

الخطورة متوسط

CVSS Score5.4

CWECWE-79

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-14

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

5.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-79

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-43644

عرّفنا بنفسك

تسجيل الدخول مطلوب