CVE-2026-33712

Nome do Software Vulnerável e Versões Afetadas Typebot versões anteriores a 3.16.0

Descrição Usuários não autenticados podem realizar Server-Side Request Forgery (SSRF) ao fornecer uma definição de typebot personalizada contendo blocos de código do lado do servidor. O problema ocorre porque a função fetch dentro do sandbox isolated-vm chama o fetch nativo do Node.js sem utilizar a validação validateHttpReqUrl que normalmente protege o bloco de Requisição HTTP. Isso permite a evasão das mitigações de SSRF existentes. A exploração pode levar ao acesso à rede interna, exfiltração de dados e roubo de credenciais de nuvem para serviços hospedados e implantações auto-hospedadas. O endpoint afetado é 'POST /api/v1/typebots/{typebotId}/preview/startChat'.

Recomendações Atualizar para a versão 3.16.0.