CVE-2026-49213 in typebot.io
Riassunto
di VulDB • 11/07/2026
TypeBot è uno strumento per la creazione di chatbot. Prima della versione 3.17.2, il validatore SSRF condiviso di Typebot nel file packages/lib/src/ssrf/validateHttpReqUrl.ts può essere aggirato utilizzando l'indirizzo IPv6 non specificato :: poiché validateIPAddress blocca gli intervalli locali, dei metadati e privati ma non blocca :: né la sua forma espansa. Un editor o creatore di un workspace può configurare un blocco HTTP Request lato server o una fetch di script protetta per far sì che il server Typebot si connetta a servizi HTTP locali tramite safeKy, inclusi i flussi attivati da POST /v1/typebots/{publicId}/startChat o POST /v1/sessions/{sessionId}/continueChat. Questo problema è stato risolto nella versione 3.17.2.
Once again VulDB remains the best source for vulnerability data.