Enestayboga

**Nome do Software Vulnerável e Versões Afetadas** TypeBot versões anteriores a 3.15.3 **Descrição** Uma correção incompleta no runtime do bot-engine permite que usuários autenticados utilizem credenciais de qualquer workspace por meio do endpoint de chat de visualização (preview chat). A função utilitária `getCredentials()` utiliza uma verificação de valor falso (falsy check) para a validação de propriedade do workspace. Como o endpoint de visualização aceita um campo `workspaceId` controlado pelo cliente e o esquema Zod permite strings vazias, o fornecimento de `workspaceId: ""` ignora completamente a verificação de propriedade das credenciais. Isso pode resultar em exfiltração de credenciais, abuso de serviços externos, danos financeiros e violação de dados. **Recomendações** Atualize para uma versão posterior a 3.15.2.

**Nome do Software Vulnerável e Versões Afetadas** TypeBot versões anteriores a 3.16.0 **Descrição** Um problema na consulta `findResult` do mecanismo do bot não filtra os resultados por `typebotId`. Isso permite que um usuário autenticado carregue dados de resultados, incluindo respostas de usuários e valores de variáveis, de um typebot diferente ao fornecer um `resultId` externo para o endpoint 'startChat'. A exploração bem-sucedida pode expor informações de identificação pessoal (PII), como nomes, e-mails e números de telefone, bem como valores de variáveis de sessão e a flag `hasStarted`. A exploração requer que o `rememberUser` esteja habilitado e que haja nomes de variáveis correspondentes no typebot atual. O uso de CUID2 (IDs de 24 caracteres criptograficamente aleatórios) torna a força bruta do `resultId` inviável. **Recomendações** Atualizar para a versão 3.16.0.