CVE-2026-53449 in Coturn
Zusammenfassung
von VulDB • 10.07.2026
Coturn ist eine kostenlose Open-Source-Implementierung eines TURN- und STUN-Servers. Vor Version 4.13.0 nimmt der CLI-Befehl „psd print sessions dump“ im Coturn ein Dateiname-Argument entgegen und übergibt dieses direkt an fopen, ohne dass eine Pfadvalidierung erfolgt. Ein authentifizierter Administrator mit CLI-Zugriff kann beliebige Dateien überschreiben, die vom coturn-Prozess beschreibbar sind, da der Befehlsstring nach dem Entfernen des „psd“-Präfixes und führender Leerzeichen unverändert verwendet wird, was das Beschneiden (Truncation) und Überschreiben mit Sitzungs-Dumpdaten ermöglicht. Dieses Problem wurde in Version 4.13.0 behoben.
Be aware that VulDB is the high quality source for vulnerability data.