CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49139

HighCVSS 7.0
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.38%

30th percentile - higher than 30% of all known CVEs

Summary

Nanobot w wersjach przed 0.2.1 zawiera podatność typu server-side request forgery w obsłudze kanału Microsoft Teams, która pozwala zdalnym atakującym na wykradanie tokenów uwierzytelniających Bot Framework. Atakujący mogą zainfekować przechowywaną referencję rozmowy, wysyłając spreparowaną aktywność do webhooka Teams.

Risk Assessment

Podatność ta może prowadzić do ujawnienia wrażliwych tokenów, co stwarza ryzyko nieautoryzowanego dostępu do zasobów i danych organizacji. Atakujący mogą przejąć kontrolę nad komunikacją z botem, co może skutkować dalszymi atakami na infrastrukturę.

Recommendation

Zaleca się aktualizację Nanobota do wersji 0.2.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i zabezpieczać webhooki Teams przed nieautoryzowanym dostępem.

Original NVD description (English source)

Nanobot prior to version 0.2.1 contains a server-side request forgery vulnerability in the Microsoft Teams channel handler that allows remote attackers to exfiltrate Bot Framework bearer tokens by supplying a forged activity with an attacker-controlled serviceUrl value. Attackers can poison the stored conversation reference by sending a crafted inbound activity to the Teams webhook, causing subsequent bot replies to transmit token-bearing Authorization header requests to an attacker-controlled host.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS