CVE-2026-53449 in Coturn
Сводка
по VulDB • 10.07.2026
Coturn — это бесплатная реализация сервера TURN и STUN с открытым исходным кодом. До версии 4.13.0 команда CLI psd print sessions, предназначенная для дампа сеансов в файл, принимает аргумент имени файла и напрямую передает его функции fopen без какой-либо проверки пути (path validation). Аутентифицированный администратор с доступом к командной строке может перезаписывать произвольные файлы, записи в которые разрешены процессу coturn, поскольку строка команды используется как есть после удаления префикса psd и ведущих пробелов, что позволяет выполнять усечение файла (truncation) и его перезапись данными дампа сеансов. Эта проблема исправлена в версии 4.13.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.