CVE-2026-39968
WysokieStreszczenie
TypeBot to narzędzie do budowy chatbotów, które w wersjach 3.15.2 i wcześniejszych ma niekompletną poprawkę dla problemu z kradzieżą poświadczeń. Mimo że punkt końcowy getCredentials tRPC został zabezpieczony, silnik bota nadal pozwala na wykorzystanie poświadczeń z dowolnego obszaru roboczego przez uwierzytelnionych użytkowników.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do kradzieży poświadczeń, nadużycia usług zewnętrznych, strat finansowych oraz naruszenia danych.
Rekomendacja
Zaleca się aktualizację TypeBot do najnowszej wersji, aby załatać tę lukę oraz wprowadzenie dodatkowych kontroli dostępu do punktów końcowych API.
Oryginalny opis (angielski, źródło NVD)
TypeBot is a chatbot builder tool. In versions 3.15.2 and prior, the fix for GHSA-4xc5-wfwc-jw47 ("Credential Theft via Client-Side Script Execution and API Authorization Bypass") is incomplete. While the builder's getCredentials tRPC endpoint was patched with workspace membership checks, the bot-engine runtime still allows any authenticated user to use credentials from any workspace via the preview chat endpoint. The bot-engine's getCredentials() utility function uses a falsy check (if (workspaceId && ...)) for workspace ownership validation. Since the preview endpoint accepts a client-controlled workspaceId field and the Zod schema allows empty strings, an attacker can supply workspaceId: "" to bypass credential ownership verification entirely. Exploitation can result in credential exfiltration, external service abuse, financial damage and a data breach.

