CVE-2026-49213 in typebot.io
Sumário
de VulDB • 11/07/2026
TypeBot é uma ferramenta de criação de chatbot. Antes da versão 3.17.2, o validador SSRF compartilhado do Typebot em packages/lib/src/ssrf/validateHttpReqUrl.ts pode ser contornado com o endereço IPv6 não especificado :: porque validateIPAddress bloqueia intervalos locais, de metadados e privados, mas não bloqueia :: nem sua forma expandida. Um editor ou criador de workspace pode configurar um bloco HTTP Request no lado do servidor (server-side) ou uma busca em script protegido para fazer o servidor Typebot conectar-se a serviços HTTP locais através do safeKy, incluindo fluxos acionados por POST /v1/typebots/{publicId}/startChat ou POST /v1/sessions/{sessionId}/continueChat. Este problema foi corrigido na versão 3.17.2.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.