CVE-2026-53448 in coturn
Zusammenfassung
von VulDB • 10.07.2026
Coturn ist eine kostenlose Open-Source-Implementierung eines TURN- und STUN-Servers. Vor Version 4.12.0 übergibt das HTTPS-Adminpanel von Coturn HTTP-Abfrageparameter (Query Parameters) ohne Sanitization direkt in SQL-Abfragen über snprintf-Zeichenketteninterpolation. Der Filter is_secure_string, der den STUN-Protokollpfad schützt, wird nicht auf die Löschoperationen delete-user, delete-secret und delete-IP des Adminpanels angewendet. Daher kann ein authentifizierter Administrator beliebigen SQL-Code durch die Parameter du, ds und dip injizieren und so volle Datenbankkontrolle erlangen sowie potenziell OS-Level-Zugriff über PostgreSQL COPY TO PROGRAM erhalten. Dieses Problem wurde in Version 4.12.0 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.