从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: Commit信息: - 修复了一个在使用Telnyx webhook时,如果PUBLIC_KEY缺失而导致关闭语音通话的问题。 - 包含了对多个文件的修改,主要是与Telnyx相关的配置和验证逻辑。 CHANGESLOG.md: - 安全性改进,包括但不限于: - 针对Voice Call(Telnyx):要求Webhook签名验证在接收到传入事件时,如果配置中没有设置 ,则会被拒绝,除非 被启用。 代码更改: - 对Telnyx的publicKey进行验证,如果缺失且 未启用,将会抛出错误。 - 在某些环境下, 选项允许跳过签名验证,主要用于开发测试场景,以绕过上述限制。 - 测试用例添加了对上述场景的覆盖,包括公共密钥缺失时验证失败的场景,以及在 为true时允许请求通过的情况。 漏洞关键信息总结 1. 缺少Webhook签名验证: - 问题描述:在使用Telnyx Webhook时,如果没有配置公网可访问的Key,可能导致Webhook签名验证失败,导致语音通话服务中断。 - 修复措施:添加了 配置,并在配置不全时给出明确错误提示。此外,增加了 选项来跳过验证,但只用于开发环境中。 2. 安全风险: - 潜在风险:如果 不当使用(如在生产环境中启用),可能会绕过对Webhook签名的验证,导致未经授权的请求可能被接受,存在安全风险。 - 建议: 选项应仅在开发和测试环境使用,避免在生产环境中启用。同时,确保所有生产环境的Webhook配置完整、安全。