free5GC — это проект с открытым исходным кодом для опорных сетей мобильной связи 5-го поколения (5G). На версии репозитория пользовательских данных до 1.4.1 включительно влияет неправильная обработка ошибок с раскрытием информации. Компонент NEF надежно передает сведения о внутренних ошибках синтаксического анализа (например, недопустимый символ «n» после значения верхнего уровня) удаленным клиентам, что может помочь злоумышленникам в снятии отпечатков пальцев службы.
Все развертывания free5GC с использованием службы Nnef_PfdManagement могут быть уязвимыми. Запрос на включение free5gc/udr 56 содержит исправление. На уровне приложения не существует прямого обходного пути.
Рекомендуется установить официальный патч.
Показать оригинальное описание (EN)
free5GC is an open-source project for 5th generation (5G) mobile core networks. Versions up to and including 1.4.1 of the User Data Repository are affected by Improper Error Handling with Information Exposure. The NEF component reliably leaks internal parsing error details (e.g., invalid character 'n' after top-level value) to remote clients, which can aid attackers in service fingerprinting. All deployments of free5GC using the Nnef_PfdManagement service may be vulnerable. free5gc/udr pull request 56 contains a patch. No direct workaround is available at the application level. Applying the official patch is recommended.
Характеристики атаки
Последствия
Строка CVSS v4.0