Botpress - Openbaarmaking van inloggegevens via Twilio Webhook Handler

De Twilio integratie webhook handler accepteert elk POST-verzoek zonder de 'X-Twilio-Signature' van Twilio te valideren. Bij het verwerken van media berichten haalt het door de gebruiker beheerde URL's ('MediaUrlN' parameters) op met behulp van HTTP-verzoeken die de Twilio inloggegevens van de integratie bevatten in de 'Authorization' header. Een aanvaller kan een webhook payload vervalsen die naar hun eigen server verwijst en de 'accountSID' en 'authToken' van het slachtoffer in platte tekst (base64-gecodeerde Basic Auth) ontvangen, wat leidt tot volledige compromittering van het Twilio-account.