PT-2026-42802 · Typebot · Typebot

Publicado

2026-05-22

·

Atualizado

2026-05-22

·

CVE-2026-34207

CVSS v3.1

7.6

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:L
Nome do Software Vulnerável e Versões Afetadas TypeBot versões anteriores a 3.16.0
Descrição O TypeBot é uma ferramenta de criação de chatbots. A proteção contra SSRF para blocos de Webhook / Requisição HTTP valida apenas a string da URL, literais de hostname bloqueados e formatos de IP literais, sem resolver o DNS antes de permitir a requisição. Isso permite que um hostname que resolva para 127.0.0.1, 169.254.169.254 ou espaço privado/RFC1918 passe na validação e seja buscado pelo cliente HTTP do backend. Isso possibilita a falsificação de requisição do lado do servidor (SSRF)—uma falha onde um invasor pode forçar o servidor a fazer requisições para destinos internos ou não pretendidos—para loopback, metadados de nuvem e alvos de rede privada.
Recomendações Atualizar para a versão 3.16.0.

Exploit

Correção

RCE

SSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-34207
GHSA-GRCC-6X37-WWGP

Produtos afetados

Typebot