Apa yang terjadi
TypeBot versi sebelum 3.17.2 (CVSS 8.2 HIGH, NVD 18 Juni 2026) mengandung kerentanan Server-Side Request Forgery (SSRF) di mana resolusi hostname untuk validasi SSRF dilakukan sekali pada waktu pemeriksaan tetapi koneksi aktual dibuat secara terpisah — celah time-of-check to time-of-use (TOCTOU). Penyerang dapat memanfaatkan DNS rebinding untuk melewati pemeriksaan rentang IP awal (diselesaikan ke IP publik) dan kemudian membuat resolusi kedua mengembalikan IP internal/pribadi, membypass penjaga SSRF untuk menjangkau layanan jaringan internal.
Mengapa penting
SSRF dalam platform chatbot memungkinkan penyerang menggunakan server chatbot sebagai pivot untuk menjangkau layanan internal (metadata API, database internal, microservice AI lainnya) yang tidak terbuka untuk internet. Dalam deployment TypeBot yang dihosting di cloud, ini dapat mengekspos endpoint metadata instans cloud (AWS IMDS, metadata GCP) yang memungkinkan pencurian kredensial.
Vektor serangan
Penyerang menyediakan URL ke TypeBot yang awalnya diselesaikan ke IP publik (melewati validasi SSRF), kemudian menggunakan DNS rebinding untuk membuat koneksi aktual diselesaikan ke IP internal/pribadi, menjangkau layanan internal melalui server chatbot.
Sistem yang terdampak
TypeBot (typebot.io) < 3.17.2
Mitigasi
Tingkatkan ke TypeBot 3.17.2. Lihat commit perbaikan: https://github.com/baptisteArno/typebot.io/commit/f56c3c3f771df13a8c11e88f500dfdd78981bed1