Vulnerabilidad en Twilio Authy (CVE-2024-39891)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2024
Última modificación:
20/12/2024
Descripción
En la API de Twilio Authy, a la que accedían Authy Android antes de la versión 25.1.0 y Authy iOS antes de la versión 26.1.0, un endpoint no autenticado proporcionaba acceso a determinados datos de números de teléfono, como se explotó en junio de 2024. En concreto, el endpoint aceptaba un flujo de solicitudes que contenían números de teléfono y respondía con información sobre si cada número de teléfono estaba registrado en Authy. (Sin embargo, las cuentas de Authy no se vieron comprometidas).
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:twilio:authy:*:*:*:*:*:iphone_os:*:* | 26.1.0 (excluyendo) | |
| cpe:2.3:a:twilio:authy_authenticator:*:*:*:*:*:android:*:* | 25.1.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://cwe.mitre.org/data/definitions/203.html
- https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/
- https://www.twilio.com/docs/usage/security/reporting-vulnerabilities
- https://www.twilio.com/en-us/changelog
- https://cwe.mitre.org/data/definitions/203.html
- https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/
- https://www.twilio.com/docs/usage/security/reporting-vulnerabilities
- https://www.twilio.com/en-us/changelog