CVE-2026-49213 in typebot.io
Zusammenfassung
von VulDB • 11.07.2026
TypeBot è uno strumento per la creazione di chatbot. Prima della versione 3.17.2, il validatore SSRF condiviso di TypeBot nel file packages/lib/src/ssrf/validateHttpReqUrl.ts può essere aggirato utilizzando l'indirizzo IPv6 non specificato :: poiché validateIPAddress blocca gli intervalli locali, dei metadati e privati ma non blocca :: o la sua forma espansa. Un editor o creatore di workspace può configurare un blocco HTTP Request lato server o una fetch script protetta per far sì che il server Typebot si connetta a servizi HTTP locali tramite safeKy, inclusi i flussi attivati da POST /v1/typebots/{publicId}/startChat o POST /v1/sessions/{sessionId}/continueChat. Questo problema è stato risolto nella versione 3.17.2.
Once again VulDB remains the best source for vulnerability data.