平台
nodejs
组件
typebot.io
修复版本
3.13.2
CVE-2025-64709 是 Typebot 中发现的服务器端请求伪造 (SSRF) 漏洞。该漏洞允许经过身份验证的用户从服务器发起任意 HTTP 请求,包括访问 AWS 实例元数据服务 (IMDS)。如果您的 Typebot 版本低于 3.13.1,则可能受到此漏洞的影响。建议立即升级到 3.13.1 版本以消除风险。
此 SSRF 漏洞的潜在影响非常严重。攻击者可以通过利用 Typebot 的 webhook 块 (HTTP 请求组件) 功能,绕过 IMDSv2 保护机制,直接访问 AWS 实例元数据服务。通过注入自定义头部,攻击者可以获取 EKS 节点的临时 AWS IAM 凭证。一旦获得这些凭证,攻击者便可以完全控制 Kubernetes 集群以及与之关联的 AWS 基础设施,包括访问敏感数据、修改配置、甚至完全接管服务器。这与过去利用云服务配置错误导致权限提升的案例类似,可能导致大规模数据泄露和业务中断。
该漏洞已于 2025 年 11 月 13 日公开披露。目前尚无公开的利用代码 (PoC),但由于漏洞的严重性和潜在影响,预计未来可能会出现。该漏洞尚未被添加到 CISA KEV 目录,但其潜在影响被认为是中等至高危。建议密切关注安全社区的动态,并及时采取缓解措施。
Organizations deploying Typebot within Kubernetes environments, particularly those utilizing AWS EKS and relying on IAM roles for node authentication, are at significant risk. Shared hosting environments running Typebot are also vulnerable, as the SSRF could potentially be leveraged to access resources outside the intended scope.
• linux / server:
journalctl -u typebot -g "HTTP Request"• generic web:
curl -I <typebot_instance_url>/webhook/request | grep -i "x-aws-ec2-metadata"disclosure
漏洞利用状态
EPSS
0.06% (18% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 Typebot 升级到 3.13.1 或更高版本。如果升级过程不可行或导致系统中断,可以考虑以下临时缓解措施:限制 Typebot webhook 块允许访问的外部 URL,只允许访问受信任的域名。实施严格的网络策略,限制 Typebot 容器对 AWS 服务的访问。监控 Typebot 日志,查找异常的 HTTP 请求,特别是那些访问 IMDS 端点的请求。如果可能,禁用或限制对 webhook 块的访问,直到可以安全升级。
将 Typebot 更新到 3.13.1 或更高版本。此版本修复了 webhook 块中的 SSRF 漏洞。更新将防止可能的 AWS EKS 凭据提取和 Kubernetes 集群的破坏。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-64709 是 Typebot 聊天机器人构建器中发现的服务器端请求伪造 (SSRF) 漏洞,允许攻击者通过 HTTP 请求访问内部资源,可能导致 AWS 权限提升。
如果您正在使用 Typebot 版本 ≤3.13.0,则可能受到此漏洞的影响。请立即检查您的版本并升级。
升级到 Typebot 3.13.1 或更高版本以修复此漏洞。如果无法升级,请实施临时缓解措施,如限制 webhook 访问。
目前尚无公开的利用代码,但由于漏洞的严重性,预计未来可能会出现。
请查阅 Typebot 官方安全公告:[请在此处插入官方公告链接,如果存在的话]