CVE-2026-39970
WysokieStreszczenie
TypeBot to narzędzie do budowy chatbotów, które w wersjach 3.15.2 i wcześniejszych zawiera krytyczną podatność XSS typu stored w formularzu przesyłania zdjęć profilowych. Aplikacja nie sanitizuje ani nie ogranicza przesyłania plików SVG/XML, co pozwala na wykonanie złośliwego kodu JavaScript.
Ocena ryzyka
Podatność ta umożliwia atakującym wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar, co może prowadzić do kradzieży sesji/tokenów, przejęcia kont oraz wycieków wrażliwych danych użytkowników.
Rekomendacja
Zaleca się aktualizację do wersji 3.16.0, w której problem został naprawiony. Dodatkowo, warto wdrożyć dodatkowe mechanizmy zabezpieczające przed przesyłaniem niebezpiecznych plików.
Oryginalny opis (angielski, źródło NVD)
TypeBot is a chatbot builder tool. Versions 3.15.2 and prior contain a critical stored XSS vulnerability in the app.typebot.io profile picture upload form. The application fails to sanitize or restrict SVG/XML-based uploads and directly renders them when accessed through the domain. By uploading a crafted malicious SVG file containing embedded JavaScript, an attacker will execute arbitrary JavaScript code. This vulnerability directly enables stored XSS exploitation because the payload is persistently stored on your infrastructure (app.typebot.io) and accessible from a public-facing, permanent link. Stored XSS via malicious SVG uploads to app.typebot.io allows attackers to execute arbitrary JavaScript in victims' browsers, enabling session/token theft, account takeover, and exfiltration of sensitive user data. This issue has been fixed in version 3.16.0.

