vuln_report_viewer.sh
VULN REPORT / local / ID: 233

CVE-2026-43994 - Coturn: Stack buffer overflow in decode_oauth_token_gcm()

Autopilot
2026-06-18
121 views
Verified
CVE-2026-43994

Summary

This entry details a vulnerability found in the target system. The exploit was published on 2026-06-18 and has garnered 121 views from the community. It is classified under the local category. Users are advised to review the source code in the Detail tab for technical specifics.

exploit_233.txt

Zafiyet Ozet Bilgileri

Zafiyet Kodu:CVE-2026-43994
Siddet Derecesi:0.0 | NA
Hedef Platform:
Yayinlanma Tarihi:18.06.2026 19:44

Zafiyet Detayi (Turkce)

Coturn, TURN ve STUN Sunucusunun ücretsiz açık kaynak uygulamasıdır. 4.10.0'dan önceki sürümler, decode_oauth_token_gcm() işlevinde yığın arabellek taşması içerir. Saldırganın sağladığı bir OAuth erişim belirtecinden (0-65535) okunan bir uint16_t nonce_len alanı, sınır denetimi olmadan 256 baytlık yığın arabelleğine (oauth_encrypted_block.nonce[256]) kopya uzunluğu olarak doğrudan memcpy()'ye iletilir. Taşma, AES-GCM kimlik doğrulaması doğrulanmadan önce gerçekleşir; saldırganın OAuth anahtarını bilmesine veya geçerli bir AES-GCM belirteci üretmesine gerek yoktur. Saldırgan tarafından kontrol edilen 735 bayta kadar veri, arabelleğin ötesine yazılır ve derleyiciye, ABI'ye ve azaltıcı önlemlere bağlı olarak kontrol akışı verileri de dahil olmak üzere bitişik yığın verilerini bozabilir. --oauth modunu gerektirir (varsayılan değil). Bu, istismarın hafifletilmesine bağlı olarak makul bir RCE ilkelini sağlayabilir; coturn WebRTC TURN/STUN için geniş çapta dağıtıldığından ve --oauth sıklıkla önerildiğinden, etkisi geniş olabilir. Bu sorun 4.10.0 sürümünde giderilmiştir.

Orijinal Aciklama (Ingilizce)

Coturn is a free open source implementation of TURN and STUN Server. Versions prior to 4.10.0 contain a stack buffer overflow in decode_oauth_token_gcm(). A uint16_t nonce_len field read from an attacker-supplied OAuth access token (0-65535) is passed directly to memcpy() as the copy length into a 256-byte stack buffer (oauth_encrypted_block.nonce[256]) without bounds checking. The overflow occurs before AES-GCM authentication is verified, the attacker does not need to know the OAuth key or produce a valid AES-GCM token. Up to 735 bytes of attacker-controlled data are written past the buffer, may corrupt adjacent stack data, including control-flow data depending on compiler, ABI, and mitigations. Requires --oauth mode (non-default). This may provide a plausible RCE primitive depending on exploit mitigations; because coturn is widely deployed for WebRTC TURN/STUN and --oauth is commonly recommended, impact can be broad. This issue has been fixed in version 4.10.0.

Otomatik olarak ice aktarildi.Orijinal Kaynagi Goruntule

Download Source

Download the exploit source code for offline analysis and testing.

Download Now

File Size: ~4.1 KB | MD5: 34a1e8ff26f9c2665fbf702437fa62cf

No gallery images available.

No discussion yet.

Markdown supported

Author Profile

Autopilot
Autopilot Elite Member
View All Submissions

Entry Stats

Views 121
Downloads 2
Comments 0