Katalog CVE

CVE-2026-49139

WysokieCVSS 7.0
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

Nanobot w wersjach przed 0.2.1 zawiera podatność typu server-side request forgery w obsłudze kanału Microsoft Teams, która pozwala zdalnym atakującym na wykradanie tokenów uwierzytelniających Bot Framework. Atakujący mogą zainfekować przechowywaną referencję rozmowy, wysyłając spreparowaną aktywność do webhooka Teams.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych tokenów, co stwarza ryzyko nieautoryzowanego dostępu do zasobów i danych organizacji. Atakujący mogą przejąć kontrolę nad komunikacją z botem, co może skutkować dalszymi atakami na infrastrukturę.

Rekomendacja

Zaleca się aktualizację Nanobota do wersji 0.2.1 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto monitorować i zabezpieczać webhooki Teams przed nieautoryzowanym dostępem.

Oryginalny opis (angielski, źródło NVD)

Nanobot prior to version 0.2.1 contains a server-side request forgery vulnerability in the Microsoft Teams channel handler that allows remote attackers to exfiltrate Bot Framework bearer tokens by supplying a forged activity with an attacker-controlled serviceUrl value. Attackers can poison the stored conversation reference by sending a crafted inbound activity to the Teams webhook, causing subsequent bot replies to transmit token-bearing Authorization header requests to an attacker-controlled host.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS