Plateforme
nodejs
Composant
typebot.io
Corrigé dans
3.13.2
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été découverte dans Typebot, un constructeur de chatbot open-source. Cette faille, présente dans les versions antérieures à 3.13.1, permet à des utilisateurs authentifiés d'initier des requêtes HTTP arbitraires depuis le serveur. L'exploitation réussie de cette vulnérabilité peut conduire à la compromission de l'infrastructure Kubernetes et des services AWS associés, notamment par l'accès aux informations d'identification IAM temporaires.
L'impact de cette vulnérabilité est significatif. Un attaquant peut exploiter la fonctionnalité de bloc webhook (composant HTTP Request) de Typebot pour effectuer des requêtes HTTP arbitraires. En contournant la protection IMDSv2 via l'injection d'en-têtes personnalisés, l'attaquant peut accéder au Service Metadata Instance (IMDS) d'AWS. Cela permet d'extraire les informations d'identification IAM temporaires associées au rôle du nœud EKS, offrant un contrôle total sur le cluster Kubernetes et l'ensemble de l'infrastructure AWS. Cette vulnérabilité présente un risque élevé de compromission complète du système, similaire à des attaques ciblant les métadonnées d'instance AWS pour obtenir des privilèges élevés.
Cette vulnérabilité a été rendue publique le 13 novembre 2025. Bien qu'aucune preuve d'exploitation active n'ait été rapportée à ce jour, la sévérité critique de la vulnérabilité et la possibilité d'une compromission complète du système en font une cible potentielle pour les attaquants. Il est conseillé de surveiller les sources d'informations sur les menaces et les forums de sécurité pour détecter tout développement ultérieur.
Organizations deploying Typebot within Kubernetes environments, particularly those utilizing AWS EKS and relying on IAM roles for node authentication, are at significant risk. Shared hosting environments running Typebot are also vulnerable, as the SSRF could potentially be leveraged to access resources outside the intended scope.
• linux / server:
journalctl -u typebot -g "HTTP Request"• generic web:
curl -I <typebot_instance_url>/webhook/request | grep -i "x-aws-ec2-metadata"disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Typebot vers la version 3.13.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est fortement recommandé de désactiver temporairement la fonctionnalité de bloc webhook HTTP Request si elle n'est pas essentielle. Si la mise à jour est problématique, envisagez de restreindre l'accès réseau au serveur Typebot pour limiter les requêtes HTTP sortantes. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, notamment les requêtes HTTP vers des adresses IP ou des domaines inattendus.
Mettez à jour Typebot à la version 3.13.1 ou supérieure. Cette version corrige la vulnérabilité SSRF dans le bloc webhook. La mise à jour empêchera l'extraction potentielle d'informations d'identification AWS EKS et le compromis du cluster Kubernetes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-64709 is a critical SSRF vulnerability in Typebot versions up to 3.13.0, allowing attackers to extract AWS IAM credentials and compromise Kubernetes clusters.
You are affected if you are running Typebot version 3.13.0 or earlier. Upgrade to 3.13.1 to resolve the vulnerability.
Upgrade Typebot to version 3.13.1. As a temporary workaround, restrict outbound network access and implement strict input validation.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted. Monitor your systems and apply the patch promptly.
Refer to the Typebot project's official release notes and security advisories on their GitHub repository for the latest information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.