CVE-2026-48759

Nome do Software Vulnerável e Versões Afetadas TypeBot versões anteriores a 3.16.0 Steeltoe (versões afetadas não especificadas)

Descrição O TypeBot contém um problema de Referência Direta Insegura a Objetos (IDOR)—uma falha onde uma aplicação fornece acesso direto a objetos com base em entradas fornecidas pelo usuário—permitindo que usuários autenticados modifiquem ou excluam modelos de tema de outros espaços de trabalho. Os manipuladores handleSaveThemeTemplate e handleDeleteThemeTemplate verificam se um usuário é um membro não convidado de um espaço de trabalho, mas as consultas Prisma subsequentes usando themeTemplateId não incluem o workspaceId no filtro, permitindo ações não autorizadas entre espaços de trabalho. IDs de modelos podem ser expostos através do tráfego de rede ou typebots compartilhados.

O Steeltoe grava chaves privadas TLS no diretório /tmp, expondo dados sensíveis e comprometendo a integridade e a privacidade dos dados em trânsito.

Recomendações Atualizar para a versão 3.16.0. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.