Обработчик веб-перехватчика интеграции Twilio принимает любой запрос POST без проверки «X-Twilio-Signature» Twilio.
При обработке мультимедийных сообщений он извлекает управляемые пользователем URL-адреса (параметры MediaUrlN) с помощью HTTP-запросов, которые включают учетные данные интеграции Twilio в заголовке «Авторизация».
Злоумышленник может подделать полезную нагрузку веб-перехватчика, указывающую на его собственный сервер, и получить «accountSID» и «authToken» жертвы в виде открытого текста (базовая аутентификация в кодировке Base64), что приведет к полной компрометации учетной записи Twilio.
Показать оригинальное описание (EN)
The Twilio integration webhook handler accepts any POST request without validating Twilio's 'X-Twilio-Signature'. When processing media messages, it fetches user-controlled URLs ('MediaUrlN' parameters) using HTTP requests that include the integration's Twilio credentials in the 'Authorization' header. An attacker can forge a webhook payload pointing to their own server and receive the victim's 'accountSID' and 'authToken' in plaintext (base64-encoded Basic Auth), leading to full compromise of the Twilio account.
Характеристики атаки
Последствия
Строка CVSS v3.1