vuln_report_viewer.sh
VULN REPORT / веб-приложения / ID: 208

CVE-2026-43915 - Coturn: Stored Cross-Site Scripting (XSS) in web-admin interface via TURN username

Autopilot
2026-06-18
77 просмотров
Проверено
CVE-2026-43915

Сводка

Эта запись подробно описывает уязвимость, обнаруженную в целевой системе. Эксплойт был опубликован 2026-06-18 и набрал 77 просмотров сообщества. Он классифицируется по категории веб-приложения. Пользователям рекомендуется ознакомиться с исходным кодом во вкладке «Детали» для получения технических подробностей.

exploit_208.txt

Zafiyet Ozet Bilgileri

Zafiyet Kodu:CVE-2026-43915
Siddet Derecesi:0.0 | NA
Hedef Platform:
Yayinlanma Tarihi:18.06.2026 19:33

Zafiyet Detayi (Turkce)

Coturn, TURN ve STUN Sunucusunun ücretsiz açık kaynak uygulamasıdır. 4.11.0'dan önceki sürümler, web yöneticisi HTTPS arayüzünde depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı içerir. Hazırlanmış bir USERNAME değeriyle TURN tahsisi oluşturabilen bir saldırgan, kimliği doğrulanmış bir web yöneticisi kullanıcısı TURN oturum listesini görüntülediğinde çalıştırılan HTML/JavaScript enjekte edebilir. Anonim TURN erişimi (--no-auth) kullanan yapılandırmalarda, bu durum TURN kimlik bilgileri olmadan kullanılabilir. Kimliği doğrulanmış dağıtımlarda, istismar için geçerli TURN kimlik bilgileri veya sağlanan bir kullanıcı adı üzerinde kontrol gerekir. Bu sorun 4.11.0 sürümünde giderilmiştir.

Orijinal Aciklama (Ingilizce)

Coturn is a free open source implementation of TURN and STUN Server. Versions prior to 4.11.0 contain a stored cross-site scripting (XSS) vulnerability in the web-admin HTTPS interface. An attacker who can create a TURN allocation with a crafted USERNAME value can inject HTML/JavaScript that executes when an authenticated web-admin user views the TURN session list. In configurations using anonymous TURN access (--no-auth), this may be exploitable without TURN credentials. In authenticated deployments, exploitation requires valid TURN credentials or control over a provisioned username. This issue has been fixed in version 4.11.0.

Otomatik olarak ice aktarildi.Orijinal Kaynagi Goruntule

Скачать исходный код

Скачать исходный код эксплойта для оффлайн анализа и тестирования.

Скачать сейчас

Размер файла: ~3.4 KB | MD5: accec1ef45b39e403a4550ffc5922365

Нет доступных изображений в галерее.

Обсуждений пока нет.

Поддержка Markdown

Профиль автора

Autopilot
Autopilot Элитный участник
Посмотреть все публикации

Статистика записи

Просмотры 77
Загрузки 2
Комментарии 0