PT-2024-5376 · Twilio · Twilio Authy Android+2
Publicado
2024-07-01
·
Atualizado
2024-12-20
·
CVE-2024-39891
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Twilio Authy para Android anteriores à 25.1.0
Versões do Twilio Authy para iOS anteriores à 26.1.0
Descrição
O problema diz respeito a um endpoint não autenticado na API do Twilio Authy que fornecia acesso a determinados dados de números de telefone. Esse endpoint aceitava um fluxo de solicitações contendo números de telefone e respondia com informações sobre se cada número de telefone estava registrado no Authy. A vulnerabilidade foi explorada em junho de 2024, mas as contas do Authy não foram comprometidas. A vulnerabilidade está relacionada à divulgação de informações devido a inconsistências.
Recomendações
Para versões do Twilio Authy para Android anteriores à 25.1.0, atualize para a versão 25.1.0 ou posterior para resolver o problema.
Para versões do Twilio Authy para iOS anteriores à 26.1.0, atualize para a versão 26.1.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint não autenticado na API do Twilio Authy até que um patch seja aplicado.
Correção
Side Channel Attack
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Twilio Authy Api
Twilio Authy Android
Twilio Authy Ios