CVE-2026-53448 in coturnالمعلومات

الملخص

بحسب VulDB • 10/07/2026

Coturn هو تنفيذ مجاني ومفتوح المصدر لخوادم TURN و STUN. قبل الإصدار 4.12.0، يقوم لوحة إدارة HTTPS الخاصة بـ coturn بتمرير معاملات استعلام HTTP مباشرة إلى استعلامات SQL عبر تداخل السلاسل باستخدام snprintf دون تعقيم (sanitization). فلتر is_secure_string الذي يحمي مسار بروتوكول STUN لا يُطبق على عمليات حذف المستخدم وحذف السر وحذف عنوان IP في لوحة الإدارة، مما يسمح لمدير معتمد بحقن أوامر SQL عشوائية من خلال معاملات du و ds و dip، والحصول على تحكم كامل في قاعدة البيانات وإمكانية الوصول إلى مستوى نظام التشغيل عبر PostgreSQL COPY TO PROGRAM. تم إصلاح هذه المشكلة في الإصدار 4.12.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

09/06/2026

إفشاء

10/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-377574

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!