PT-2026-42802 · Typebot · Typebot
Publicado
2026-05-22
·
Atualizado
2026-05-22
·
CVE-2026-34207
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L |
Nome do Software Vulnerável e Versões Afetadas
TypeBot versões anteriores a 3.16.0
Descrição
O TypeBot é uma ferramenta de criação de chatbots. A proteção contra SSRF para blocos de Webhook / Requisição HTTP valida apenas a string da URL, literais de hostname bloqueados e formatos de IP literais, sem resolver o DNS antes de permitir a requisição. Isso permite que um hostname que resolva para 127.0.0.1, 169.254.169.254 ou espaço privado/RFC1918 passe na validação e seja buscado pelo cliente HTTP do backend. Isso possibilita a falsificação de requisição do lado do servidor (SSRF)—uma falha onde um invasor pode forçar o servidor a fazer requisições para destinos internos ou não pretendidos—para loopback, metadados de nuvem e alvos de rede privada.
Recomendações
Atualizar para a versão 3.16.0.
Exploit
Correção
RCE
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Typebot