Vulnerabilities ›

CVE-2024-39891

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

                    Published: Jul 23, 2024                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Twilio Authy Information Disclosure Vulnerability — Twilio Authy contains an information disclosure vulnerability in its API that allows an unauthenticated endpoint to accept a request containing a phone number and respond with information about whether the phone number was registered with Authy.

🤖 AI Executive Summary

Twilio Authy API contains an unauthenticated endpoint that discloses whether a phone number is registered with Authy, enabling user enumeration attacks. This information disclosure vulnerability allows attackers to identify valid Authy users without authentication.

📄 Description (Arabic)

تحتوي واجهة برمجة تطبيقات Twilio Authy على نقطة نهاية غير محمية تقبل أرقام الهاتف وتكشف عما إذا كانت مسجلة في النظام. يمكن للمهاجمين استخدام هذه الثغرة لتعداد المستخدمين الصحيحين بشكل منهجي. هذا يسهل هجمات التصيد الاحتيالي والهندسة الاجتماعية الموجهة.

🤖 ملخص تنفيذي (AI)

تحتوي واجهة برمجة تطبيقات Twilio Authy على نقطة نهاية غير مصرحة تكشف ما إذا كان رقم الهاتف مسجلاً في Authy، مما يسمح بهجمات تعداد المستخدمين. تسمح هذه الثغرة بكشف المعلومات للمهاجمين بتحديد مستخدمي Authy الصحيحين دون مصادقة.

🤖 AI Intelligence Analysis Analyzed: Apr 19, 2026 21:50

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1589.001 T1598.003 T1087.001

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Update Twilio Authy SDK and libraries to the latest patched version immediately. Implement authentication requirements on all API endpoints. Monitor API logs for suspicious enumeration patterns. Consider implementing rate limiting on phone number lookup requests.

🔧 خطوات المعالجة (العربية)

قم بتحديث مكتبات Twilio Authy إلى أحدث إصدار مصحح فوراً. طبق متطلبات المصادقة على جميع نقاط نهاية API. راقب سجلات API للأنماط المريبة. فكر في تطبيق تحديد معدل الطلبات على طلبات البحث عن رقم الهاتف.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 6.1

🔵 SAMA CSF

AC-2 AC-3 SI-4

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.9.4.3

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Twilio:Authy

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS29.58%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2024-08-13

Published 2024-07-23

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2024-39891

Introduce Yourself

Sign In Required