CVE-2024-39891
CVE-2024-39891
Vexday Risk Score
43Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 5.3EPSS 1.5%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
02 jul 2024Publicada no NVD
23 jul 2024Exploração ativa (CISA KEV)
Recomendação: Planejar correção próxima — já existe PoC pública.
Em resumo
O aplicativo Authy da Twilio tinha uma falha que permitia qualquer pessoa verificar se um número de telefone estava registrado no Authy, sem necessidade de login. Isso exposição quais números usam Authy, embora as contas em si não fossem comprometidas.
Detalhe técnico
Um endpoint de API não autenticado no Authy Android (<25.1.0) e iOS (<26.1.0) permitia que atacantes enumerassem números de telefone registrados enviando requisições com números e recebendo confirmação de status de registro. Essa vulnerabilidade de divulgação de informações (CWE-203) foi explorada ativamente em junho de 2024, possibilitando ataques de enumeração de conta sem autenticação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In the Twilio Authy API, accessed by Authy Android before 25.1.0 and Authy iOS before 26.1.0, an unauthenticated endpoint provided access to certain phone-number data, as exploited in the wild in June 2024. Specifically, the endpoint accepted a stream of requests containing phone numbers, and responded with information about whether each phone number was registered with Authy. (Authy accounts were not compromised, however.)
CVSS:3.1/AC:L/AV:N/A:N/C:L/I:N/PR:N/S:U/UI:N
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://cwe.mitre.org/data/definitions/203.htmlhttps://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-39891https://www.twilio.com/docs/usage/security/reporting-vulnerabilitieshttps://www.twilio.com/en-us/changelog