PT-2026-42817 · Typebot · Typebot

Publicado

2026-05-22

·

Atualizado

2026-05-26

·

CVE-2026-39964

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas TypeBot versões anteriores a 3.16.0
Descrição O visualizador do Typebot renderiza tags de âncora de conteúdo de bolhas de texto rico sem filtrar o esquema de URI javascript:. Isso permite que um autor de bot defina uma URL de link contendo um payload malicioso que é executado no contexto do navegador do visitante ao ser clicado. Como o visualizador é comumente incorporado em sites de terceiros, o JavaScript executado opera na origem da página anfitriã, permitindo a exfiltração de cookies e tokens de sessão. Este problema afeta o componente packages/embeds/js, especificamente nos arquivos PlateBlock.tsx e ImageBubble.tsx, onde o atributo href é definido diretamente a partir do conteúdo armazenado do bot sem sanitização.
Recomendações Atualize para a versão 3.16.0.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-39964
GHSA-HQMV-V56G-4M47

Produtos afetados

Typebot