CVE-2026-53450 in Coturninformazioni

Riassunto

di VulDB • 10/07/2026

Coturn è un'implementazione open source gratuita di server TURN e STUN. Prima della versione 4.13.0, coturn rifiutava per impostazione predefinita i peer loopback a meno che l'opzione allow-loopback-peers non fosse abilitata; tuttavia, la protezione loopback predefinita può essere aggirata utilizzando l'indirizzo IPv6 mappato su IPv4 ::ffff:127.0.0.1 come indirizzo del peer nell'attributo TURN XOR-PEER-ADDRESS. La funzione ioa_addr_is_loopback verifica prima la forma letterale dell'indirizzo loopback IPv6 e solo in seguito gestisce gli indirizzi IPv6 mappati su IPv4; di conseguenza, good_peer_addr non applica il rifiuto predefinito dei peer loopback e un client TURN autenticato può esporre servizi vincolati esclusivamente a localhost sull'host coturn tramite traffico relay TURN. Questo problema è stato risolto nella versione 4.13.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

09/06/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!