Plataforma
nodejs
Componente
typebot.io
Corregido en
3.13.2
Se ha descubierto una vulnerabilidad de Server-Side Request Forgery (SSRF) en Typebot, un constructor de chatbots de código abierto. Esta falla, presente en versiones anteriores a 3.13.1, permite a usuarios autenticados realizar solicitudes HTTP arbitrarias desde el servidor, incluyendo el acceso al Servicio de Metadatos de Instancia de AWS (IMDS). La vulnerabilidad afecta a Typebot en versiones 3.13.0 y anteriores. Se ha publicado una corrección en la versión 3.13.1.
La vulnerabilidad SSRF en Typebot es particularmente grave debido a su potencial para comprometer la infraestructura subyacente. Un atacante puede explotar esta falla para eludir la protección IMDSv2 mediante la inyección de encabezados personalizados, lo que les permite extraer credenciales temporales de IAM para el rol del nodo EKS. Con estas credenciales, el atacante puede obtener acceso completo al clúster Kubernetes y a toda la infraestructura de AWS asociada, incluyendo bases de datos, almacenamiento y otros servicios. Esta escalada de privilegios podría resultar en la exfiltración de datos sensibles, la modificación de la configuración del sistema y la interrupción del servicio. La capacidad de realizar solicitudes arbitrarias también podría utilizarse para escanear la red interna en busca de otros sistemas vulnerables.
Esta vulnerabilidad ha sido publicada públicamente el 13 de noviembre de 2025. No se ha añadido a la lista KEV de CISA al momento de la redacción, pero la severidad CRITICAL y la facilidad de explotación (requiere autenticación pero no privilegios elevados) sugieren un riesgo medio-alto. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad SSRF y la disponibilidad de información sobre IMDS hacen que sea probable que se desarrollen PoCs en el futuro cercano. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations deploying Typebot within Kubernetes environments, particularly those utilizing AWS EKS and relying on IAM roles for node authentication, are at significant risk. Shared hosting environments running Typebot are also vulnerable, as the SSRF could potentially be leveraged to access resources outside the intended scope.
• linux / server:
journalctl -u typebot -g "HTTP Request"• generic web:
curl -I <typebot_instance_url>/webhook/request | grep -i "x-aws-ec2-metadata"disclosure
Estado del Exploit
EPSS
0.06% (18% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-64709 es actualizar Typebot a la versión 3.13.1 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Restringir el acceso a la instancia de Typebot a través de reglas de firewall y listas de control de acceso (ACL) puede limitar el alcance potencial de la explotación. Además, se debe revisar y endurecer la configuración de IAM para minimizar los privilegios otorgados al rol del nodo EKS. Monitorear el tráfico de red en busca de solicitudes inusuales a IMDS también puede ayudar a detectar y prevenir ataques. Después de la actualización, verificar la corrección revisando los logs del servidor y asegurándose de que las solicitudes a IMDS estén bloqueadas.
Actualice Typebot a la versión 3.13.1 o superior. Esta versión corrige la vulnerabilidad SSRF en el bloque de webhook. La actualización evitará la posible extracción de credenciales de AWS EKS y el compromiso del clúster de Kubernetes.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-64709 is a critical SSRF vulnerability in Typebot versions up to 3.13.0, allowing attackers to extract AWS IAM credentials and compromise Kubernetes clusters.
You are affected if you are running Typebot version 3.13.0 or earlier. Upgrade to 3.13.1 to resolve the vulnerability.
Upgrade Typebot to version 3.13.1. As a temporary workaround, restrict outbound network access and implement strict input validation.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted. Monitor your systems and apply the patch promptly.
Refer to the Typebot project's official release notes and security advisories on their GitHub repository for the latest information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.