CVE-2026-39969 in typebot.io
요약
\~에 의해 VulDB • 2026. 05. 23.
TypeBot는 챗봇 빌더 도구입니다. 버전 3.16.0 및 이전 버전에서 WhatsApp Cloud API 웹훅 엔드포인트(POST /v1/workspaces/{workspaceId}/whatsapp/{credentialsId}/webhook)는 Meta가 모든 웹훅 전송 시 포함하는 x-hub-signature-256 HMAC 서명을 검증하지 않습니다. 웹훅 URL은 workspaceId 및 credentialsId를 경로 매개변수로 노출하며, 이는 웹 서버 액세스 로그에 기록되고 Meta의 웹훅 구성 대시보드에서 확인할 수 있으며, 통합 구성 시 공유될 수도 있습니다. 이로 인해 인증되지 않은 공격자가 스푸핑된 웹훅 메시지를 전송하여 봇 플로우를 트리거하고, API 리소스를 소모하며, 워크스페이스 소유자의 자격 증명을 사용하여 외부 서비스와 상호작용할 수 있습니다. 이 문제는 버전 3.17.0에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.