podinfo 6.11.2 反射型 XSS 漏洞总结 漏洞概述 漏洞类型:反射型跨站脚本攻击(Reflected XSS) 漏洞编号:CVE-2026-43644 严重程度:中等(MEDIUM) 发布日期:2026年5月14日 CVSS v4 向量: CWE 分类:CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 影响范围 受影响软件:podinfo 受影响版本:6.11.2 及以下版本 受影响端点: - - 漏洞原理: 上述端点中的 直接将请求体内容写入响应,未设置 或 头。由于 Go 的内容类型检测机制,响应被当作 返回,攻击者可构造包含脚本负载的表单页面,在受害者访问时于 podinfo 上下文中执行恶意脚本。 修复方案 修复版本:6.11.3 及以上 修复措施: - 在响应中显式设置 为 或其他非 HTML 类型 - 添加 头,防止浏览器 MIME 嗅探 参考链接 研究者披露:Researcher Disclosure GitHub Issue:GitHub Issue 贡献者 Niccolò Parlianti --- > 注:页面未提供 POC 代码或 exploit 代码块。