CVE-2026-47212

Nome do Software Vulnerável e Versões Afetadas Symfony versões anteriores a 6.4.11

Descrição A ponte do notificador de SMS do Twilio contém um analisador de requisições de webhook usado para autenticar e decodificar callbacks de status. A função doParse(Request $request, #[SensitiveParameter] string $secret) recebe um segredo de webhook configurado, mas não o lê nem o verifica, ignorando o cabeçalho HMAC X-Twilio-Signature. Isso permite que um invasor envie requisições POST forjadas para o endpoint do webhook, mesmo quando um segredo de assinatura está configurado, podendo levar a fraudes em métricas de entrega ou gatilhos de automação downstream não autorizados.

Recomendações Atualize para a versão 6.4.11 ou posterior. Para aplicações atrás de um proxy reverso com terminação TLS, configure framework.trusted proxies e framework.trusted headers para garantir que Request::getUri() retorne a URL pública assinada pelo Twilio.