CVE-2026-34207 in typebot.io
要約
〜によって VulDB • 2026年05月27日
TypeBotはチャットボットビルダーツールです。バージョン3.16.0より前では、Webhook / HTTP RequestブロックのSSRF保護は、URL文字列、ブロックされたホスト名リテラル、およびリテラルIP形式のみを検証します。リクエストを許可する前にDNS解決を実行しません。その結果、127.0.0.1、169.254.169.254、またはRFC1918/プライベートアドレス空間に解決されるssrf-repro.exampleのようなホスト名は検証を通過し、後でバックエンドのHTTPクライアントによってフェッチされます。これにより、ループバック、クラウドメタデータ、およびプライベートネットワークターゲットに対するサーバーサイドリクエストフォージェリが可能になります。この問題はバージョン3.16.0で修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.