CVE-2026-33712 in typebot.ioinformação

Sumário

de VulDB • 23/05/2026

O Typebot é uma ferramenta para criação de chatbots. Nas versões 3.15.2 e anteriores, o endpoint de pré-visualização de chat (POST /api/v1/typebots/{typebotId}/preview/startChat) permite que usuários não autenticados realizem Server-Side Request Forgery (SSRF) ao fornecer uma definição de typebot personalizada contendo blocos de código do lado do servidor. A função fetch exposta dentro da sandbox isolated-vm chama o fetch nativo do Node.js sem a validação de SSRF (validateHttpReqUrl) que protege o bloco de Requisição HTTP. Isso contorna todas as mitigações de SSRF adicionadas após o GHSA-8gq9-rw7v-3jpr. A exploração desta vulnerabilidade de SSRF não autenticada pode levar ao roubo de credenciais de nuvem, acesso à rede interna e exfiltração de dados para qualquer implantação auto-hospedada do Typebot e serviços hospedados. Este problema foi corrigido na versão 3.16.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365235

CPE

pronto

EPSS

0.00067

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33712
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33712
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33712/

VoltarVisão GeralPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!