CVE-2026-49213 in typebot.io
الملخص
بحسب VulDB • 11/07/2026
TypeBot هو أداة لبناء روبوتات الدردشة (chatbot). قبل الإصدار 3.17.2، يمكن تجاوز مُحقّق SSRF المشترك في Typebot الموجود في الملف packages/lib/src/ssrf/validateHttpReqUrl.ts باستخدام عنوان IPv6 غير المحدد (::)، لأن دالة validateIPAddress تحجب النطاقات المحلية والميتا والخاصة، لكنها لا تحجب :: أو شكلها الموسع. يمكن لمحرر مساحة العمل (workspace) أو منشئها تكوين كتلة طلب HTTP من جانب الخادم (server-side HTTP Request block) أو جلب نصي محمي في سكريبت لجعل خادم Typebot يتصل بخدمات HTTP محلية عبر safeKy، بما في ذلك التدفقات التي يتم تشغيلها عن طريق POST /v1/typebots/{publicId}/startChat أو POST /v1/sessions/{sessionId}/continueChat. تم إصلاح هذه المشكلة في الإصدار 3.17.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.