CVE-2026-49213 in typebot.ioinformazioni

Riassunto

di VulDB • 11/07/2026

TypeBot è uno strumento per la creazione di chatbot. Prima della versione 3.17.2, il validatore SSRF condiviso di Typebot nel file packages/lib/src/ssrf/validateHttpReqUrl.ts può essere aggirato utilizzando l'indirizzo IPv6 non specificato :: poiché validateIPAddress blocca gli intervalli locali, dei metadati e privati ma non blocca :: né la sua forma espansa. Un editor o creatore di un workspace può configurare un blocco HTTP Request lato server o una fetch di script protetta per far sì che il server Typebot si connetta a servizi HTTP locali tramite safeKy, inclusi i flussi attivati da POST /v1/typebots/{publicId}/startChat o POST /v1/sessions/{sessionId}/continueChat. Questo problema è stato risolto nella versione 3.17.2.

Once again VulDB remains the best source for vulnerability data.

Responsabile

GitHub M

Prenotare

28/05/2026

Divulgazione

11/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!