coturn projectのcoturnにおける古典的バッファオーバーフローの脆弱性
| Title |
coturn projectのcoturnにおける古典的バッファオーバーフローの脆弱性
|
| Summary |
CoturnはTURNおよびSTUNサーバの無料オープンソース実装です。バージョン4.10.0以前にはdecode_oauth_token_gcm()関数にスタックバッファオーバーフローの脆弱性が存在していました。攻撃者が供給するOAuthアクセストークンから読み取られるuint16_t型のnonce_lenフィールド(0〜65535)が境界チェックなしにmemcpy()にコピー長として渡され、256バイトのスタックバッファ(oauth_encrypted_block.nonce[256])にコピーされます。AES-GCM認証が検証される前にオーバーフローが発生するため、攻撃者はOAuthキーを知らなくても有効なAES-GCMトークンを作成する必要がありません。最大735バイトの攻撃者制御下のデータがバッファの外に書き込まれ、隣接するスタックデータ(コンパイラ、ABI、緩和策により制御フローデータを含みます)を破損する可能性があります。--oauthモード(デフォルトでは無効)の使用が必要です。この脆弱性は緩和策に依存して実行可能コードのリモート実行(RCE)に悪用される可能性があり、coturnはWebRTCのTURN/STUNで広く利用されているため、--oauthの使用も一般的に推奨されています。そのため影響範囲は広範囲に及びます。この問題はバージョン4.10.0で修正されました。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 18, 2026, midnight |
| Registration Date |
June 29, 2026, 11:18 a.m. |
| Last Update |
June 29, 2026, 11:18 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| coturn project |
|
coturn 4.10.0 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月29日]
掲載 |
June 29, 2026, 11:18 a.m. |
NVD Vulnerability Information
CVE-2026-43994
| Summary |
Coturn is a free open source implementation of TURN and STUN Server. Versions prior to 4.10.0 contain a stack buffer overflow in decode_oauth_token_gcm(). A uint16_t nonce_len field read from an attacker-supplied OAuth access token (0-65535) is passed directly to memcpy() as the copy length into a 256-byte stack buffer (oauth_encrypted_block.nonce[256]) without bounds checking. The overflow occurs before AES-GCM authentication is verified, the attacker does not need to know the OAuth key or produce a valid AES-GCM token. Up to 735 bytes of attacker-controlled data are written past the buffer, may corrupt adjacent stack data, including control-flow data depending on compiler, ABI, and mitigations. Requires --oauth mode (non-default). This may provide a plausible RCE primitive depending on exploit mitigations; because coturn is widely deployed for WebRTC TURN/STUN and --oauth is commonly recommended, impact can be broad. This issue has been fixed in version 4.10.0.
|
| Publication Date |
June 19, 2026, 6:16 a.m. |
| Registration Date |
June 27, 2026, 4:03 a.m. |
| Last Update |
June 26, 2026, 11:30 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:coturn_project:coturn:*:*:*:*:*:*:*:* |
|
|
|
4.10.0 |
Related information, measures and tools
Common Vulnerabilities List