CVE-2026-40613 describes a Denial of Service (DoS) vulnerability affecting Coturn, a TURN/STUN server implementation. The vulnerability stems from unsafe pointer casts during STUN/TURN attribute parsing on ARM64 architectures. Specifically, crafted STUN messages can trigger a SIGBUS signal, leading to a crash of the turnserver process. This vulnerability impacts Coturn versions prior to 4.10.0.
Coturn 的 CVE-2026-40613 影响 4.10.0 之前的版本。这是一种与 STUN/TURN 属性处理相关的安全漏洞。具体来说,Coturn 中的属性解析函数在没有内存对齐检查的情况下,从 uint8_t * 到 uint16_t * 执行不安全的指针转换。当处理具有奇数对齐属性边界的精心制作的 STUN 消息时,这会导致在 nsturnmsg.c 中出现未对齐的内存读取。在具有严格对齐执行的 ARM64 架构 (AArch64) 上,这会导致 SIGBUS 信号,从而立即终止 TURN 服务器进程。此漏洞的 CVSS 分数为 7.5,表明中等风险。成功利用可能导致拒绝服务 (DoS) 条件,从而中断 TURN 服务器的运行。
利用此漏洞需要将精心制作的 STUN 消息发送到易受攻击的 Coturn 服务器。该消息必须包含具有不正确内存边界的属性。在具有严格对齐执行的 ARM64 (AArch64) 架构上,利用的可能性更高,其中 SIGBUS 信号将可靠地发生。虽然创建恶意 STUN 消息可能需要一些技术知识,但攻击的相对简单性使其成为攻击者的潜在问题。缺少 KEV(知识条目向量)表明没有发布公共利用程序,但漏洞仍然存在潜在风险。
漏洞利用状态
EPSS
0.19% (41% 百分位)
CISA SSVC
CVE-2026-40613 的解决方案是将 Coturn 升级到 4.10.0 或更高版本。此版本通过在执行指针转换之前实现适当的内存对齐检查来修复漏洞。强烈建议系统管理员尽快升级他们的 Coturn 服务器,以降低利用风险。此外,建议监控 TURN 服务器日志中是否存在 SIGBUS 信号,因为这些信号可能表明存在利用尝试。如果怀疑存在利用,应立即进行调查并采取纠正措施。
Actualice a la versión 4.10.0 o posterior de Coturn para mitigar la vulnerabilidad. Esta actualización corrige el problema de acceso a memoria desalineada en el analizador de atributos STUN, previniendo así el posible fallo del servidor TURN en arquitecturas ARM64.
漏洞分析和关键警报直接发送到您的邮箱。
Coturn 是用于通信应用程序中 NAT 遍历的 TURN 和 STUN 服务器的免费开源实现。
此更新会修复可能导致 TURN 服务器崩溃并可能中断服务的漏洞。
SIGBUS 是指示不正确内存访问错误的信号。在这种情况下,它是由于不正确的指针转换而触发的。
您可以通过在命令行中运行 coturn --version 命令来检查您的 Coturn 版本。
没有更新的替代方案。唯一解决方案是将升级到 4.10.0 或更高版本。
CVSS 向量