CVSS: 9.8EPSS: 0%CPEs: 3EXPL: 1CVE-2018-4056
https://notcve.org/view.php?id=CVE-2018-4056
An exploitable SQL injection vulnerability exists in the administrator web portal function of coTURN prior to version 4.5.0.9. A login message with a specially crafted username can cause an SQL injection, resulting in authentication bypass, which could give access to the TURN server administrator web portal. An attacker can log in via the external interface of the TURN server to trigger this vulnerability. Existe una vulnerabilidad de Inyección SQL explotable en la función del portal web de administrador de coTURN en versiones anteriores a la 4.5.0.9. Un mensaje de inicio de sesión con un nombre de usuario especialmente manipulado puede causar una inyección SQL, conduciendo a una omisión de autenticación, lo que podría conceder acceso al portal web de administrador del servidor TURN. • https://lists.debian.org/debian-lts-announce/2019/02/msg00017.html https://talosintelligence.com/vulnerability_reports/TALOS-2018-0730 https://www.debian.org/security/2019/dsa-4373 • CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') •
CVSS: 10.0EPSS: 0%CPEs: 1EXPL: 0CVE-2018-4059
https://notcve.org/view.php?id=CVE-2018-4059
An exploitable unsafe default configuration vulnerability exists in the TURN server function of coTURN prior to version 4.5.0.9. By default, the TURN server runs an unauthenticated telnet admin portal on the loopback interface. This can provide administrator access to the TURN server configuration, which can lead to additional attacks. An attacker who can get access to the telnet port can gain administrator access to the TURN server. Existe una vulnerabilidad explotable de configuración insegura por defecto en la función del servidor TURN de coTURN, en versiones anteriores a la 4.5.0.9. • https://talosintelligence.com/vulnerability_reports/TALOS-2018-0733 • CWE-862: Missing Authorization •