PT-2026-42825 · Typebot · Typebot

Publicado

2026-05-22

·

Atualizado

2026-05-23

·

CVE-2026-39969

CVSS v3.1

6.5

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N
Nome do Software Vulnerável e Versões Afetadas TypeBot versões anteriores a 3.17.0
Descrição O endpoint de webhook da API do WhatsApp Cloud 'POST /v1/workspaces/{workspaceId}/whatsapp/{credentialsId}/webhook' não verifica a assinatura HMAC x-hub-signature-256 fornecida pela Meta. Como os parâmetros de caminho workspaceId e credentialsId são frequentemente registrados em logs de acesso do servidor web ou visíveis em painéis de configuração, um invasor não autenticado pode enviar mensagens de webhook falsificadas. Isso permite que o invasor acione fluxos de bots, consuma recursos de API e interaja com serviços externos usando as credenciais do proprietário do espaço de trabalho.
Recomendações Atualize para a versão 3.17.0.

Exploit

Correção

Insufficient Verification of Data Authenticity

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-39969
GHSA-8VQP-R5W7-V47F

Produtos afetados

Typebot