概述
CVE-2025-64709是一个影响Typebot开源聊天机器人构建工具的关键安全漏洞,CVSS评分9.6。该漏洞存在于Webhook块功能中,可能造成AWS EKS凭证泄露。
漏洞描述
Typebot是一个开源聊天机器人构建器。在3.13.1之前的版本中,Typebot webhook块(HTTP请求组件)功能存在服务器端请求伪造漏洞,允许经过身份验证的用户从服务器发起任意HTTP请求,包括访问AWS实例元数据服务。通过自定义标头注入绕过IMDSv2保护,攻击者可以提取EKS节点角色的临时AWS IAM凭证,导致Kubernetes集群和相关AWS基础设施完全被攻陷。3.13.1版本修复了此问题。
时间线
- 发布日期:2025年11月13日
- 最后修改:2025年11月13日
- 远程利用:是
- 信息来源:security-advisories@github.com
受影响产品
目前尚未记录受影响的具体产品信息。
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.6 | CVSS 3.1 | 严重 | 3.1 | 5.8 | 5.8 | security-advisories@github.com |
| 9.6 | CVSS 3.1 | 严重 | 3.1 | 5.8 | 5.8 | MITRE-CVE |
解决方案
- 将Typebot更新到3.13.1或更高版本
- 为Webhook组件应用安全补丁
- 审查并限制Webhook配置
- 监控未经授权的服务器请求
相关参考
CWE分类
- CWE-918:服务器端请求伪造
CAPEC攻击模式
- CAPEC-664:服务器端请求伪造
漏洞历史
| 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | - | Typebot是开源聊天机器人构建器… |
| 添加 | CVSS V3.1 | - | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N |
| 添加 | CWE | - | CWE-918 |
| 添加 | 参考 | - | GitHub安全公告链接 |