CVE-2026-53449 in Coturn
요약
\~에 의해 VulDB • 2026. 07. 10.
Coturn은 TURN 및 STUN 서버의 무료 오픈 소스 구현체입니다. 버전 4.13.0 이전에서 coturn의 `psd print sessions` CLI 명령어는 파일명 인수를 받아 경로 검증 없이 직접 `fopen`에 전달합니다. CLI 접근 권한이 있는 인증된 관리자는 명령어 문자열에서 `psd` 접두사와 선행 공백을 제거한 후 그대로 사용되므로 세션 덤프 데이터로 잘라쓰기(truncation) 및 덮어쓰기가 가능하여, coturn 프로세스가 쓰기 가능한 임의 파일을 덮어쓸 수 있습니다. 이 문제는 버전 4.13.0에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.