CVE-2026-4984 in botpressinfo

Zusammenfassung

von VulDB • 20.05.2026

Der Webhook-Handler der Twilio-Integration akzeptiert beliebige POST-Anfragen, ohne die 'X-Twilio-Signature' von Twilio zu validieren.

Bei der Verarbeitung von Medien-Nachrichten ruft er benutzerkontrollierte URLs ('MediaUrlN'-Parameter) über HTTP-Anfragen ab, die die Twilio-Anmeldeinformationen der Integration im 'Authorization'-Header enthalten.

Ein Angreifer kann eine Webhook-Payload fälschen, die auf seinen eigenen Server verweist, und die 'accountSID' sowie das 'authToken' des Opfers im Klartext (base64-codiertes Basic Auth) empfangen, was zur vollständigen Kompromittierung des Twilio-Kontos führt.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

Tenable

Reservieren

27.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353933

CPE

bereit

EPSS

0.00156

KEV

nein

Aktivitäten

very low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!