Katalog CVE

CVE-2026-39968

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

TypeBot to narzędzie do budowy chatbotów, które w wersjach 3.15.2 i wcześniejszych ma niekompletną poprawkę dla problemu z kradzieżą poświadczeń. Mimo że punkt końcowy getCredentials tRPC został zabezpieczony, silnik bota nadal pozwala na wykorzystanie poświadczeń z dowolnego obszaru roboczego przez uwierzytelnionych użytkowników.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do kradzieży poświadczeń, nadużycia usług zewnętrznych, strat finansowych oraz naruszenia danych.

Rekomendacja

Zaleca się aktualizację TypeBot do najnowszej wersji, aby załatać tę lukę oraz wprowadzenie dodatkowych kontroli dostępu do punktów końcowych API.

Oryginalny opis (angielski, źródło NVD)

TypeBot is a chatbot builder tool. In versions 3.15.2 and prior, the fix for GHSA-4xc5-wfwc-jw47 ("Credential Theft via Client-Side Script Execution and API Authorization Bypass") is incomplete. While the builder's getCredentials tRPC endpoint was patched with workspace membership checks, the bot-engine runtime still allows any authenticated user to use credentials from any workspace via the preview chat endpoint. The bot-engine's getCredentials() utility function uses a falsy check (if (workspaceId && ...)) for workspace ownership validation. Since the preview endpoint accepts a client-controlled workspaceId field and the Zod schema allows empty strings, an attacker can supply workspaceId: "" to bypass credential ownership verification entirely. Exploitation can result in credential exfiltration, external service abuse, financial damage and a data breach.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS