CVE-2026-43915
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 4 — wyżej niż 4% wszystkich znanych CVE
Streszczenie
W Coturn przed wersją 4.11.0 wykryto podatność na trwałe XSS w interfejsie HTTPS panelu administracyjnego. Atakujący może utworzyć alokację TURN z spreparowaną wartością USERNAME, co powoduje wykonanie kodu HTML/JavaScript podczas przeglądania listy sesji TURN przez uwierzytelnionego administratora.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia sesji administratora, kradzieży danych uwierzytelniających lub wykonania nieautoryzowanych działań w panelu administracyjnym. W konfiguracjach z anonimowym dostępem TURN (--no-auth) podatność może być wykorzystana bez posiadania poświadczeń TURN.
Rekomendacja
Należy niezwłocznie zaktualizować Coturn do wersji 4.11.0 lub nowszej. W przypadku braku możliwości aktualizacji, zaleca się ograniczenie dostępu do interfejsu administracyjnego oraz wdrożenie uwierzytelniania dla alokacji TURN.
Oryginalny opis (angielski, źródło NVD)
Coturn is a free open source implementation of TURN and STUN Server. Versions prior to 4.11.0 contain a stored cross-site scripting (XSS) vulnerability in the web-admin HTTPS interface. An attacker who can create a TURN allocation with a crafted USERNAME value can inject HTML/JavaScript that executes when an authenticated web-admin user views the TURN session list. In configurations using anonymous TURN access (--no-auth), this may be exploitable without TURN credentials. In authenticated deployments, exploitation requires valid TURN credentials or control over a provisioned username. This issue has been fixed in version 4.11.0.

