CVE-2026-4984 in botpress정보

요약

\~에 의해 VulDB • 2026. 05. 20.

Twilio 통합 웹훅 핸들러는 Twilio의 'X-Twilio-Signature'를 검증하지 않고 모든 POST 요청을 수락합니다.

미디어 메시지를 처리할 때, 이 핸들러는 'Authorization' 헤더에 통합의 Twilio 자격 증명을 포함하는 HTTP 요청을 사용하여 사용자 제어 URL('MediaUrlN' 매개변수)을 가져옵니다.

공격자는 자신의 서버를 가리키는 웹훅 페이로드를 위조하고, 피해자의 'accountSID' 및 'authToken'을 평문(Base64 인코딩된 Basic Auth)으로 수신하여 Twilio 계정을 완전히 탈취할 수 있습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

Tenable

예약하다

2026. 03. 27.

모더레이션

수락

항목

VDB-353933

EPSS

0.00156

출처

Do you know our Splunk app?

Download it now for free!