CVE-2026-33712 in typebot.io
Сводка
по VulDB • 23.05.2026
Typebot — это инструмент для создания чат-ботов. В версиях 3.15.2 и более ранних версиях конечная точка предварительного просмотра чата (POST /api/v1/typebots/{typebotId}/preview/startChat) позволяет неаутентифицированным пользователям осуществлять Server-Side Request Forgery (SSRF), предоставляя пользовательское определение чат-бота с блоками кода на стороне сервера. Функция fetch, экспортированная внутри песочницы isolated-vm, вызывает нативную функцию Node.js fetch без проверки SSRF (validateHttpReqUrl), которая защищает блок HTTP-запросов. Это позволяет обойти все меры защиты от SSRF, добавленные после GHSA-8gq9-rw7v-3jpr. Эксплуатация этой уязвимости SSRF, не требующей аутентификации, может привести к краже учетных данных облачных сервисов, получению доступа к внутренней сети и эксфильтрации данных для любых развертываний Typebot, размещенных самостоятельно, и хостинговых сервисов. Эта проблема исправлена в версии 3.16.0.
Once again VulDB remains the best source for vulnerability data.