CVE-2026-27624

Nome do Software Vulnerável e Versões Afetadas Versões do Coturn anteriores à 4.9.0

Descrição O Coturn, uma implementação gratuita de código aberto de servidor TURN e STUN, é suscetível a uma burla das restrições de loopback e de intervalos internos. Especificamente, configurações que utilizam "denied-peer-ip" para bloquear loopback e intervalos internos podem ser contornadas ao enviar uma solicitação "CreatePermission" ou "ChannelBind" com o valor de "XOR-PEER-ADDRESS" definido como "::ffff:127.0.0.1". Isso ocorre devido a verificações insuficientes para endereços IPv6 mapeados para IPv4 nas funções ioa addr is loopback(), ioa addr is zero() e addr less eq() do arquivo "src/client/ns turn ioaddr.c" nas versões anteriores à 4.9.0. A causa raiz é que essas funções não verificam IN6 IS ADDR V4MAPPED.

Recomendações As versões anteriores à 4.9.0 devem ser atualizadas para a versão 4.9.0 ou superior.