CVE-2026-53448 in coturninfo

Zusammenfassung

von VulDB • 10.07.2026

Coturn ist eine kostenlose Open-Source-Implementierung eines TURN- und STUN-Servers. Vor Version 4.12.0 übergibt das HTTPS-Adminpanel von Coturn HTTP-Abfrageparameter (Query Parameters) ohne Sanitization direkt in SQL-Abfragen über snprintf-Zeichenketteninterpolation. Der Filter is_secure_string, der den STUN-Protokollpfad schützt, wird nicht auf die Löschoperationen delete-user, delete-secret und delete-IP des Adminpanels angewendet. Daher kann ein authentifizierter Administrator beliebigen SQL-Code durch die Parameter du, ds und dip injizieren und so volle Datenbankkontrolle erlangen sowie potenziell OS-Level-Zugriff über PostgreSQL COPY TO PROGRAM erhalten. Dieses Problem wurde in Version 4.12.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377574

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!