T1Xster-Secreporter

**Nome do Software Vulnerável e Versões Afetadas** Versões do Coturn anteriores à 4.9.0 **Descrição** O Coturn, uma implementação gratuita de código aberto de servidor TURN e STUN, é suscetível a uma burla das restrições de loopback e de intervalos internos. Especificamente, configurações que utilizam "denied-peer-ip" para bloquear loopback e intervalos internos podem ser contornadas ao enviar uma solicitação "CreatePermission" ou "ChannelBind" com o valor de "XOR-PEER-ADDRESS" definido como "::ffff:127.0.0.1". Isso ocorre devido a verificações insuficientes para endereços IPv6 mapeados para IPv4 nas funções `ioa addr is loopback()`, `ioa addr is zero()` e `addr less eq()` do arquivo "src/client/ns turn ioaddr.c" nas versões anteriores à 4.9.0. A causa raiz é que essas funções não verificam `IN6 IS ADDR V4MAPPED`. **Recomendações** As versões anteriores à 4.9.0 devem ser atualizadas para a versão 4.9.0 ou superior.