CVE-2026-4984 in botpress
요약
\~에 의해 VulDB • 2026. 05. 20.
Twilio 통합 웹훅 핸들러는 Twilio의 'X-Twilio-Signature'를 검증하지 않고 모든 POST 요청을 수락합니다.
미디어 메시지를 처리할 때, 이 핸들러는 'Authorization' 헤더에 통합의 Twilio 자격 증명을 포함하는 HTTP 요청을 사용하여 사용자 제어 URL('MediaUrlN' 매개변수)을 가져옵니다.
공격자는 자신의 서버를 가리키는 웹훅 페이로드를 위조하고, 피해자의 'accountSID' 및 'authToken'을 평문(Base64 인코딩된 Basic Auth)으로 수신하여 Twilio 계정을 완전히 탈취할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.