CVE-2026-53450 in Coturninfo

Zusammenfassung

von VulDB • 10.07.2026

Coturn ist eine kostenlose Open-Source-Implementierung eines TURN- und STUN-Servers. Vor Version 4.13.0 lehnt Coturn Loopback-Peers standardmäßig ab, es sei denn, die Option `allow-loopback-peers` ist aktiviert. Der Standard-Lookup-Guard kann jedoch umgangen werden, indem die IPv4-mapped-IPv6-Peer-Adresse `::ffff:127.0.0.1` in einem TURN XOR-PEER-ADDRESS-Attribut verwendet wird. Die Funktion `ioa_addr_is_loopback` prüft vor der Verarbeitung von IPv4-mapped-IPv6-Adressen auf das wörtliche Format des IPv6-Loopbacks, sodass für `good_peer_addr` die Standardablehnung von Loopback-Anfragen nicht gilt. Ein authentifizierter TURN-Client kann dadurch Dienste, die nur an localhost gebunden sind, über den Coturn-Host hinweg durch TURN-Relay-Traffic verfügbar machen. Dieses Problem wurde in Version 4.13.0 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377582

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!