CVE-2026-43994 - Coturn: Stack buffer overflow in decode_oauth_token_gcm()
Сводка
Эта запись подробно описывает уязвимость, обнаруженную в целевой системе. Эксплойт был опубликован 2026-06-18 и набрал 120 просмотров сообщества. Он классифицируется по категории локальный. Пользователям рекомендуется ознакомиться с исходным кодом во вкладке «Детали» для получения технических подробностей.
Zafiyet Ozet Bilgileri
Zafiyet Detayi (Turkce)
Coturn, TURN ve STUN Sunucusunun ücretsiz açık kaynak uygulamasıdır. 4.10.0'dan önceki sürümler, decode_oauth_token_gcm() işlevinde yığın arabellek taşması içerir. Saldırganın sağladığı bir OAuth erişim belirtecinden (0-65535) okunan bir uint16_t nonce_len alanı, sınır denetimi olmadan 256 baytlık yığın arabelleğine (oauth_encrypted_block.nonce[256]) kopya uzunluğu olarak doğrudan memcpy()'ye iletilir. Taşma, AES-GCM kimlik doğrulaması doğrulanmadan önce gerçekleşir; saldırganın OAuth anahtarını bilmesine veya geçerli bir AES-GCM belirteci üretmesine gerek yoktur. Saldırgan tarafından kontrol edilen 735 bayta kadar veri, arabelleğin ötesine yazılır ve derleyiciye, ABI'ye ve azaltıcı önlemlere bağlı olarak kontrol akışı verileri de dahil olmak üzere bitişik yığın verilerini bozabilir. --oauth modunu gerektirir (varsayılan değil). Bu, istismarın hafifletilmesine bağlı olarak makul bir RCE ilkelini sağlayabilir; coturn WebRTC TURN/STUN için geniş çapta dağıtıldığından ve --oauth sıklıkla önerildiğinden, etkisi geniş olabilir. Bu sorun 4.10.0 sürümünde giderilmiştir.
Orijinal Aciklama (Ingilizce)
Coturn is a free open source implementation of TURN and STUN Server. Versions prior to 4.10.0 contain a stack buffer overflow in decode_oauth_token_gcm(). A uint16_t nonce_len field read from an attacker-supplied OAuth access token (0-65535) is passed directly to memcpy() as the copy length into a 256-byte stack buffer (oauth_encrypted_block.nonce[256]) without bounds checking. The overflow occurs before AES-GCM authentication is verified, the attacker does not need to know the OAuth key or produce a valid AES-GCM token. Up to 735 bytes of attacker-controlled data are written past the buffer, may corrupt adjacent stack data, including control-flow data depending on compiler, ABI, and mitigations. Requires --oauth mode (non-default). This may provide a plausible RCE primitive depending on exploit mitigations; because coturn is widely deployed for WebRTC TURN/STUN and --oauth is commonly recommended, impact can be broad. This issue has been fixed in version 4.10.0.
Скачать исходный код
Скачать исходный код эксплойта для оффлайн анализа и тестирования.
Скачать сейчасРазмер файла: ~4.1 KB | MD5: 34a1e8ff26f9c2665fbf702437fa62cf
Нет доступных изображений в галерее.
Обсуждений пока нет.