Platform
nodejs
Component
typebot.io
Opgelost in
3.13.2
CVE-2025-64709 is een kritieke Server-Side Request Forgery (SSRF) kwetsbaarheid in Typebot, een open-source chatbot builder. Deze kwetsbaarheid stelt geauthenticeerde gebruikers in staat om via de webhook block willekeurige HTTP-verzoeken te versturen, wat kan leiden tot volledige compromittering van de Kubernetes cluster en de bijbehorende AWS infrastructuur. De kwetsbaarheid treft Typebot versies tot en met 3.13.0, en is verholpen in versie 3.13.1.
De SSRF-kwetsbaarheid in Typebot stelt een aanvaller in staat om via de HTTP Request component in de webhook block, willekeurige HTTP-verzoeken te initiëren vanaf de server. Cruciaal is dat deze aanval IMDS (Instance Metadata Service) van AWS kan benaderen. Door custom header injectie te gebruiken, kan de aanvaller IMDSv2-bescherming omzeilen en tijdelijke AWS IAM-credentials voor de EKS node role verkrijgen. Deze credentials kunnen vervolgens worden misbruikt om volledige controle over de Kubernetes cluster en de bijbehorende AWS resources te verwerven, inclusief data-extractie, configuratiewijzigingen en verdere aanvalsmogelijkheden. De impact is vergelijkbaar met scenario's waarbij een aanvaller toegang krijgt tot de root-credentials van een server.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2025-11-13. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes, maar de kritieke ernst en de mogelijkheid om AWS-credentials te verkrijgen, maken het een aantrekkelijk doelwit voor aanvallers. Het is aan te raden om de kwetsbaarheid zo snel mogelijk te patchen. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend op moment van schrijven). Er zijn publieke proof-of-concept exploits beschikbaar.
Organizations deploying Typebot within Kubernetes environments, particularly those utilizing AWS EKS and relying on IAM roles for node authentication, are at significant risk. Shared hosting environments running Typebot are also vulnerable, as the SSRF could potentially be leveraged to access resources outside the intended scope.
• linux / server:
journalctl -u typebot -g "HTTP Request"• generic web:
curl -I <typebot_instance_url>/webhook/request | grep -i "x-aws-ec2-metadata"disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-64709 is het upgraden van Typebot naar versie 3.13.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de HTTP Request component tot specifieke, vertrouwde domeinen. Implementeer strikte authenticatie- en autorisatiecontroles voor gebruikers die toegang hebben tot de webhook block. Controleer de configuratie van de AWS IAM-rollen en zorg ervoor dat IMDSv2 correct is ingeschakeld en geconfigureerd. Na de upgrade, verifieer de fix door een poging te doen om een HTTP-verzoek naar de AWS IMDS te sturen via de webhook block; dit zou nu moeten mislukken.
Werk Typebot bij naar versie 3.13.1 of hoger. Deze versie corrigeert de SSRF-kwetsbaarheid in de webhook block. De update voorkomt de mogelijke extractie van AWS EKS-credentials en het compromitteren van de Kubernetes cluster.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-64709 is a critical SSRF vulnerability in Typebot versions up to 3.13.0, allowing attackers to extract AWS IAM credentials and compromise Kubernetes clusters.
You are affected if you are running Typebot version 3.13.0 or earlier. Upgrade to 3.13.1 to resolve the vulnerability.
Upgrade Typebot to version 3.13.1. As a temporary workaround, restrict outbound network access and implement strict input validation.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted. Monitor your systems and apply the patch promptly.
Refer to the Typebot project's official release notes and security advisories on their GitHub repository for the latest information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.