CVE-2026-39964 in typebot.ioالمعلومات

الملخص

بحسب VulDB • 24/05/2026

TypeBot هو أداة لبناء روبوتات المحادثة. في الإصدارات السابقة لـ 3.16.0، يعرض مستعرض Typebot (حزم packages/embeds/js) وسوم الروابط (anchor tags) من محتوى فقاعات النص الغني دون تصفية مخطط URI من نوع javascript:. يمكن لمؤلف الروبوت تعيين عنوان URL للرابط إلى javascript:PAYLOAD، مما يؤدي إلى تنفيذه في سياق متصفح الزائر عند النقر عليه. ونظراً لأن المستعرض عادةً ما يكون مدمجاً في موقع تابع لجهة خارجية، فإن شفرة JavaScript الخاصة بالمدافع تعمل ضمن أصل الصفحة المضيفة ويمكنها استخراج ملفات تعريف الارتباط (cookies) ورموز الجلسة. قد يؤدي ذلك إلى تمكين أي مستخدم معتمد في Typebot (بمن فيهم أولئك الذين يستخدمون الخطة المجانية) من إنشاء روبوت يحتوي على هذا الحمولة الضارة. الروبوتات المشتركة متاحة للعامة ولا تتطلب مصادقة من الضحية. تم حل هذه المشكلة في الإصدار 3.16.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

08/04/2026

إفشاء

22/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-365255

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

5.4 (CNA)

EPSS

0.00049

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-39964
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-39964
CVE Details	https://www.cvedetails.com/cve/CVE-2026-39964/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!