Katalog CVE

CVE-2026-34207

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

TypeBot to narzędzie do budowy chatbotów, które w wersjach przed 3.16.0 ma lukę w zabezpieczeniach SSRF. Ochrona przed SSRF w blokach Webhook / HTTP Request weryfikuje jedynie ciąg URL, co pozwala na wykorzystanie lokalnych adresów IP i nazw hostów, które mogą prowadzić do nieautoryzowanego dostępu do zasobów wewnętrznych.

Ocena ryzyka

Organizacje mogą być narażone na ataki typu server-side request forgery, co może prowadzić do wycieku danych z prywatnych sieci lub uzyskania dostępu do wrażliwych informacji w chmurze.

Rekomendacja

Zaleca się aktualizację TypeBot do wersji 3.16.0 lub nowszej, aby zabezpieczyć się przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

TypeBot is a chatbot builder tool. In versions prior to 3.16.0, SSRF protection for Webhook / HTTP Request blocks validates only the URL string, blocked hostname literals, and literal IP formats. It does not resolve DNS before allowing the request. As a result, a hostname such as ssrf-repro.example that resolves to 127.0.0.1, 169.254.169.254, or RFC1918/private space passes validation and is later fetched by the backend HTTP client. This enables server-side request forgery to loopback, cloud metadata, and private network targets. This issue has been resolved in version 3.16.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS