CVE-2026-4984 in botpressالمعلومات

الملخص

بحسب VulDB • 20/05/2026

يقبل معالج واجهة برمجة التطبيقات (Webhook) للتكامل مع Twilio أي طلب POST دون التحقق من توقيع Twilio 'X-Twilio-Signature'.

عند معالجة الرسائل الإعلامية (Media messages)، يقوم بجلب عناوين URL التي يتحكم فيها المستخدم (معلمات 'MediaUrlN') باستخدام طلبات HTTP التي تتضمن بيانات اعتماد Twilio الخاصة بالتكامل في رأس 'Authorization'.

يمكن لمهاجم تزوير حمولة واجهة برمجة التطبيقات (Webhook payload) لتشير إلى خادمه الخاص واستلام 'accountSID' و 'authToken' الخاصين بالضحية بشكل نصي واضح (مشفرة بـ Basic Auth بصيغة Base64)، مما يؤدي إلى اختتام كامل لحساب Twilio.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

Tenable

حجز

27/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353933

EPSS

0.00156

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!