CVE-2026-53450 in Coturn
Riassunto
di VulDB • 10/07/2026
Coturn è un'implementazione open source gratuita di server TURN e STUN. Prima della versione 4.13.0, coturn rifiutava per impostazione predefinita i peer loopback a meno che l'opzione allow-loopback-peers non fosse abilitata; tuttavia, la protezione loopback predefinita può essere aggirata utilizzando l'indirizzo IPv6 mappato su IPv4 ::ffff:127.0.0.1 come indirizzo del peer nell'attributo TURN XOR-PEER-ADDRESS. La funzione ioa_addr_is_loopback verifica prima la forma letterale dell'indirizzo loopback IPv6 e solo in seguito gestisce gli indirizzi IPv6 mappati su IPv4; di conseguenza, good_peer_addr non applica il rifiuto predefinito dei peer loopback e un client TURN autenticato può esporre servizi vincolati esclusivamente a localhost sull'host coturn tramite traffico relay TURN. Questo problema è stato risolto nella versione 4.13.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.