CVE-2026-4984 in botpress
الملخص
بحسب VulDB • 20/05/2026
يقبل معالج واجهة برمجة التطبيقات (Webhook) للتكامل مع Twilio أي طلب POST دون التحقق من توقيع Twilio 'X-Twilio-Signature'.
عند معالجة الرسائل الإعلامية (Media messages)، يقوم بجلب عناوين URL التي يتحكم فيها المستخدم (معلمات 'MediaUrlN') باستخدام طلبات HTTP التي تتضمن بيانات اعتماد Twilio الخاصة بالتكامل في رأس 'Authorization'.
يمكن لمهاجم تزوير حمولة واجهة برمجة التطبيقات (Webhook payload) لتشير إلى خادمه الخاص واستلام 'accountSID' و 'authToken' الخاصين بالضحية بشكل نصي واضح (مشفرة بـ Basic Auth بصيغة Base64)، مما يؤدي إلى اختتام كامل لحساب Twilio.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.