CVE-2026-39967

Nome do Software Vulnerável e Versões Afetadas TypeBot versões anteriores a 3.16.0

Descrição Um problema na consulta findResult do mecanismo do bot não filtra os resultados por typebotId. Isso permite que um usuário autenticado carregue dados de resultados, incluindo respostas de usuários e valores de variáveis, de um typebot diferente ao fornecer um resultId externo para o endpoint 'startChat'. A exploração bem-sucedida pode expor informações de identificação pessoal (PII), como nomes, e-mails e números de telefone, bem como valores de variáveis de sessão e a flag hasStarted. A exploração requer que o rememberUser esteja habilitado e que haja nomes de variáveis correspondentes no typebot atual. O uso de CUID2 (IDs de 24 caracteres criptograficamente aleatórios) torna a força bruta do resultId inviável.

Recomendações Atualizar para a versão 3.16.0.