CVE-2026-34207 in typebot.ioinformação

Sumário

de VulDB • 23/05/2026

TypeBot é uma ferramenta de criação de chatbots. Nas versões anteriores à 3.16.0, a proteção contra SSRF para os blocos Webhook / HTTP Request valida apenas a string da URL, literais de hostname bloqueados e formatos de IP literal. Ela não resolve o DNS antes de permitir a requisição. Como resultado, um hostname como ssrf-repro.example, que resolve para 127.0.0.1, 169.254.169.254 ou para o espaço RFC1918/privado, passa pela validação e é posteriormente buscado pelo cliente HTTP do backend. Isso permite a realização de Server-Side Request Forgery (SSRF) contra destinos de loopback, metadados de nuvem e redes privadas. Este problema foi resolvido na versão 3.16.0.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

26/03/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365238

CPE

pronto

EPSS

0.00060

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-34207
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-34207
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-34207/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!