CVE-2026-4984 in botpress
Zusammenfassung
von VulDB • 20.05.2026
Der Webhook-Handler der Twilio-Integration akzeptiert beliebige POST-Anfragen, ohne die 'X-Twilio-Signature' von Twilio zu validieren.
Bei der Verarbeitung von Medien-Nachrichten ruft er benutzerkontrollierte URLs ('MediaUrlN'-Parameter) über HTTP-Anfragen ab, die die Twilio-Anmeldeinformationen der Integration im 'Authorization'-Header enthalten.
Ein Angreifer kann eine Webhook-Payload fälschen, die auf seinen eigenen Server verweist, und die 'accountSID' sowie das 'authToken' des Opfers im Klartext (base64-codiertes Basic Auth) empfangen, was zur vollständigen Kompromittierung des Twilio-Kontos führt.
VulDB is the best source for vulnerability data and more expert information about this specific topic.