何が起きたか
TypeBot バージョン 3.16.1 以前(CVSS 9.3 CRITICAL、NVD 2026年6月18日)は、未認証エンドポイント POST /api/blocks/file-input/v3/generate-upload-url を公開しており、サニタイズされていない fileName 入力を使用して public/ S3 オブジェクトキーを構築し、Content-Type にバインドされていない署名済み PUT URL を発行します。匿名ユーザーが細工された fileName を供給することで、任意の S3 サブパスへの任意のコンテンツ書き込みが可能になり、ストレージオリジンでの任意のコンテンツホスティングと保存型 XSS が実現します。TypeBot 3.17.0 で修正されました。
なぜ重要か
TypeBot は、AI駆動の会話フローを作成するために使用される広く導入されているオープンソースのチャットボットビルダーです。この未認証ファイル書き込みにより、攻撃者は悪意のある JavaScript をチャットボットの S3 ストレージオリジンに注入でき、TypeBot駆動チャットボットと相互作用するすべてのユーザーに対して保存型 XSS 攻撃を実行でき、大規模にセッショントークン、認証情報、またはチャットボットユーザーからの会話データを盗むことができます。
攻撃経路
未認証の攻撃者が /api/blocks/file-input/v3/generate-upload-url に対してパストラバーサルシーケンスを含む細工された fileName で POST リクエストを送信します。署名済み S3 PUT URL を受け取り、public/ プレフィックス下の任意のパスに悪意のある JavaScript をアップロードし、保存型 XSS を実現します。
影響を受けるシステム
TypeBot (typebot.io) ≤ 3.16.1
緩和策
TypeBot 3.17.0 にアップグレードしてください。リリースを参照してください:https://github.com/baptisteArno/typebot.io/releases/tag/v3.17.0