PT-2026-42825 · Typebot · Typebot
Publicado
2026-05-22
·
Atualizado
2026-05-23
·
CVE-2026-39969
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
Nome do Software Vulnerável e Versões Afetadas
TypeBot versões anteriores a 3.17.0
Descrição
O endpoint de webhook da API do WhatsApp Cloud 'POST /v1/workspaces/{workspaceId}/whatsapp/{credentialsId}/webhook' não verifica a assinatura HMAC
x-hub-signature-256 fornecida pela Meta. Como os parâmetros de caminho workspaceId e credentialsId são frequentemente registrados em logs de acesso do servidor web ou visíveis em painéis de configuração, um invasor não autenticado pode enviar mensagens de webhook falsificadas. Isso permite que o invasor acione fluxos de bots, consuma recursos de API e interaja com serviços externos usando as credenciais do proprietário do espaço de trabalho.Recomendações
Atualize para a versão 3.17.0.
Exploit
Correção
Insufficient Verification of Data Authenticity
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Typebot