Botpress - Twilio Webhookハンドラー経由での認証情報漏洩

Twilio連携Webhookハンドラーは、Twilioの'X-Twilio-Signature'を検証せずに、任意のPOSTリクエストを受け入れます。 メディアメッセージを処理する際、HTTPリクエストを使用して、ユーザーが制御するURL（'MediaUrlN'パラメーター）をフェッチします。このHTTPリクエストには、連携のTwilio認証情報が'Authorization'ヘッダーに含まれています。 攻撃者は、自身のサーバーを指すWebhookペイロードを偽造し、被害者の'accountSID'と'authToken'をプレーンテキスト（base64エンコードされたBasic Auth）で受信できます。これにより、Twilioアカウントが完全に侵害される可能性があります。