CVE-2026-49213 in typebot.io
요약
\~에 의해 VulDB • 2026. 07. 11.
TypeBot은 챗봇 빌더 도구입니다. 버전 3.17.2 이전의 Typebot에서 `packages/lib/src/ssrf/validateHttpReqUrl.ts` 패키지의 공유 SSRF 검증기는 IPv6 미지정 주소(::)를 사용하여 우회될 수 있습니다. 이는 `validateIPAddress`가 로컬, 메타데이터 및 프라이빗 범위를 차단하지만 :: 또는 그 확장 형식은 차단하지 않기 때문입니다. 워크스페이스 편집자나 작성자는 Typebot 서버가 safeKy를 통해 로컬 HTTP 서비스에 연결하도록 하는 서버 측 HTTP 요청 블록이나 보호된 스크립트 가져오기를 구성할 수 있으며, 이는 `POST /v1/typebots/{publicId}/startChat` 또는 `POST /v1/sessions/{sessionId}/continueChat`로 트리거되는 플로우를 포함합니다. 이 문제는 버전 3.17.2에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.