Botpress - Divulgação de Credenciais via Manipulador de Webhook Twilio

O manipulador de webhook da integração Twilio aceita qualquer requisição POST sem validar o 'X-Twilio-Signature' do Twilio. Ao processar mensagens de mídia, ele busca URLs controladas pelo usuário (parâmetros 'MediaUrlN') usando requisições HTTP que incluem as credenciais Twilio da integração no cabeçalho 'Authorization'. Um atacante pode forjar um payload de webhook apontando para seu próprio servidor e receber o 'accountSID' e 'authToken' da vítima em texto simples (Basic Auth codificado em base64), levando à total comprometimento da conta Twilio.