Plataforma
nodejs
Componente
typebot.io
Corrigido em
3.13.2
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi descoberta no Typebot, um construtor de chatbot de código aberto. Versões anteriores à 3.13.1 permitem que usuários autenticados façam requisições HTTP arbitrárias a partir do servidor, explorando a funcionalidade do bloco webhook (componente HTTP Request). Essa falha pode levar à exposição de credenciais AWS e à completa comprometimento de infraestruturas Kubernetes.
O impacto desta vulnerabilidade é severo. Um atacante pode explorar a SSRF para acessar o AWS Instance Metadata Service (IMDS), mesmo com IMDSv2 ativado, através da injeção de headers personalizados. Ao obter acesso a essas informações, o atacante pode extrair credenciais temporárias de IAM associadas ao role do nó EKS. Com essas credenciais, o atacante pode escalar privilégios e obter controle total sobre o cluster Kubernetes e a infraestrutura AWS subjacente, incluindo acesso a dados confidenciais, execução de código malicioso e interrupção de serviços. A exploração bem-sucedida pode resultar em perda de dados, interrupção de serviços e danos à reputação.
Esta vulnerabilidade foi publicada em 2025-11-13. Não há informações sobre exploração ativa ou presença na KEV no momento da publicação. A existência de uma SSRF que permite o acesso ao AWS IMDS, especialmente com a possibilidade de contornar IMDSv2, indica um alto potencial de exploração, dada a sensibilidade das credenciais IAM.
Organizations deploying Typebot within Kubernetes environments, particularly those utilizing AWS EKS and relying on IAM roles for node authentication, are at significant risk. Shared hosting environments running Typebot are also vulnerable, as the SSRF could potentially be leveraged to access resources outside the intended scope.
• linux / server:
journalctl -u typebot -g "HTTP Request"• generic web:
curl -I <typebot_instance_url>/webhook/request | grep -i "x-aws-ec2-metadata"disclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Typebot para a versão 3.13.1, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais. Restrinja o acesso à rede para limitar o escopo das requisições HTTP que o Typebot pode fazer. Implemente regras de firewall para bloquear o acesso ao AWS IMDS a partir de fontes não confiáveis. Monitore logs de acesso e auditoria em busca de atividades suspeitas, como requisições incomuns para o AWS IMDS. Após a atualização, confirme a correção verificando se o bloco webhook não permite mais requisições arbitrárias.
Atualize Typebot para a versão 3.13.1 ou superior. Esta versão corrige a vulnerabilidade SSRF no bloco de webhook. A atualização evitará a possível extração de credenciais do AWS EKS e o comprometimento do cluster Kubernetes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-64709 is a critical SSRF vulnerability in Typebot versions up to 3.13.0, allowing attackers to extract AWS IAM credentials and compromise Kubernetes clusters.
You are affected if you are running Typebot version 3.13.0 or earlier. Upgrade to 3.13.1 to resolve the vulnerability.
Upgrade Typebot to version 3.13.1. As a temporary workaround, restrict outbound network access and implement strict input validation.
While no active exploitation has been confirmed, the ease of exploitation suggests it is likely to be targeted. Monitor your systems and apply the patch promptly.
Refer to the Typebot project's official release notes and security advisories on their GitHub repository for the latest information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.