CVE-2026-39968

Nome do Software Vulnerável e Versões Afetadas TypeBot versões anteriores a 3.15.3

Descrição Uma correção incompleta no runtime do bot-engine permite que usuários autenticados utilizem credenciais de qualquer workspace por meio do endpoint de chat de visualização (preview chat). A função utilitária getCredentials() utiliza uma verificação de valor falso (falsy check) para a validação de propriedade do workspace. Como o endpoint de visualização aceita um campo workspaceId controlado pelo cliente e o esquema Zod permite strings vazias, o fornecimento de workspaceId: "" ignora completamente a verificação de propriedade das credenciais. Isso pode resultar em exfiltração de credenciais, abuso de serviços externos, danos financeiros e violação de dados.

Recomendações Atualize para uma versão posterior a 3.15.2.