Smf
Уязвимости
29
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.00782
Распределение по критичности
Критический
5
Высокий
14
Средний
9
Низкий
1
Затронутые диапазоны версий
< 4.2.2≤ 1.4.0≤ 1.4.1≤ 1.4.2≤ 4.2.1
Также сопоставлено как (исходные строки): free5gc,smf,upf,go-upf
Топ уязвимостей
CVE-2026-44330Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, Free5GC's NEF управляет группой маршрутов управления nofdfd без входящей авторизации OAuth2/предвестника. Сетевой злоумышленник, который может достичь NEF на SBI, может использовать поддельный или произвольный токен наносителей (например. Авторизация: Несущий не-реальный-токен) для чтения данных приложения PFD через GET /applications и GET /applications/{appID}, а также для создания или удаления подписок с изменениями PFD через POST /subscriptions и DELETE /subscriptions/{subID}. Тая же первопричина, что и другие выводы NEF SBI: группа маршрутов монтируется без какого-либо входящей промежуточной программы. В отличие от OAM и групп влияния на трафик, управление НПФ-управления декларированы в ServiceList, так что это путь, предназначенный для производства, который операторы ожидают, что он будет защищен настройкой OAuth2, который получает от NRF: верно - и это не так. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44329Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 SMF free5GC монтирует группу маршрутов управления UPI без промежуточной программы для авторизации OAuth2/bearer-token. Сетевой злоумышленник, который может достичь SMF на SBI, может поразить конечные точки UPI без заголовка авторизации вообще, и запросы попадают в бизнес-обработчиков SMF. В бегущих лабораториях Docker это было непосредственно продемонстрировано для чтения (GET /upi/v1/upNodesLinks), записи (POST /upi/v1/upNodesLinks с управляемым злоумышленником UP-ундом и полезной нагрузкой ссылки) и удаления (DELETE /upi/v1/upNodesLinks/{nodeID}) операций. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44327Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, NEF free5GC устанавливает группу маршрутов unef-oam без авторизации входящий OAuth2/предъявителя. Сетевой злоумышленник, который может добраться до NEF на SBI, может поразить маршрут OAM без заголовка авторизации вообще, и обработчик возвращает 200 ОК. Текущий обработчик OAM - это заглушка, которая возвращается нулевым, но структурный дефект связан с группой маршрутов: вся группа маршрутов OAM не имеет входящей промежуточной программы, поэтому каждая будущая операция OAM, добавленная в эту группу, по умолчанию наследует отсутствующую границу. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44326Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, NEF free5GC устанавливает API 3gpp-Tffic-influence без входящий OAuth2/предисловия-токена. Сетевой злоумышленник, который может достичь NEF на SBI, может создавать, читать, патчировать и удалять подписки на влияние трафика либо без заголовка авторизации вообще, либо с кованым токеном на предъявителя (например. Авторизация: Наноситель не-на-реальный-токен). Это включает в себя создание подписки AnyUeInd=true, предназначенных для воздействия на рулевое управление трафиком группы / любого UE. Маршрутная группа также достижима, даже если ServiceList работает конфигурация не заявляет об этом, поэтому операторы, которые думают, что они отключили услугу через конфигурирование, все еще подвергаются воздействию. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44315Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, NEF Free5GC монтирует API 3gpp-pfd-management без входящего авторизации OAuth2/предъявителя. Сетевой злоумышленник, который может достичь NEF на SBI, может создавать, читать и удалять состояние транзакции PFD-управление с помощью кованого или произвольного токена (например, Авторизация: Налицо не-реальный-токен). Группа маршрутов также достижима, даже когда ServiceList работает контура не заявляет об этом, поэтому операторы, которые считают, что они отключили услугу через конфигурацию, по-прежнему подвергаются воздействию. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-40248Free5GC - это реализация с открытым исходным кодом базовой сети 5G. В версиях 4.2.1 и ниже службы UDR обработчик для создания или обновления подписки на Traffic Influence проверяет, равен ли сегмент пути влияния подписчикам для уведомления, но не возвращается после отправки ответа HTTP 404 при неудачной проверке. Исполнение продолжается, и подписка создается или перезаписывается независимо от того. Неаутентифицированный злоумышленник с доступом к интерфейсу на основе службы 5G может создавать или перезаписывать произвольные подписки на влияние трафика, включая инъекции контролируемых злоумышленниками значений уведомления Uri и произвольных SUPI, путем предоставления любого значения для сегмента пути влияния. На момент публикации исправленная версия не была доступна.
CVE-2026-40247Free5GC - это реализация с открытым исходным кодом базовой сети 5G. В версиях 4.2.1 и ниже службы UDR обработчик для чтения Подписок на трафик влияет проверяет, равен ли сегмент пути влияния, подписчикам, чтобы уведомить, но не возвращается после отправки ответа HTTP 404, когда проверка не работает. Исполнение продолжается, и данные о подписке возвращаются вместе с ответом 404. Неаутентифицированный злоумышленник с доступом к интерфейсу на основе службы 5G может считывать произвольные подписки на влияние трафика, включая SUPI/IMSI, DNN, S-NSAI и URI обратного вызова, обеспечивая любое значение для сегмента пути влияния. На момент публикации исправленная версия не была доступна.
CVE-2026-40246Free5GC - это реализация с открытым исходным кодом базовой сети 5G. В версиях 1.4.2 и ниже службы UDR обработчик для удаления подписки на влияние трафика проверяет, равен ли сегмент пути влияния, подпискам на уведомления, но не возвращается после отправки ответа HTTP 404, когда проверка не работает. Исполнение продолжается, и подписка удаляется независимо от этого. Неаутентифицированный злоумышленник с доступом к интерфейсу на основе службы 5G может удалить произвольные подписки на влияние трафика, предоставив любое значение для сегмента пути влияния, в то время как API вводит в заблуждение ответ 404 Not Found. На момент публикации исправленная версия не была доступна.
CVE-2026-44328Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, SMF free5GC монтирует группу маршрутов управления UPI без входящей промежуточной программы OAuth2. Кроме того, обработчик DELETE /upi/v1/upNodesLinks/{upNodeRef} безоговорочно ссылается на upNode.UPF после запуска синсинта, защищаемых типом, даже если узлы AN построены без объекта UPF. В результате один запрос DELETE /upi/v1/upNodesLinks/gNB1 разбивает обработчик с паники с нулевым указательным и мутирует топологию пользовательской плоскости в памяти, прежде чем паника (линия UpNodeDelete (upNodeRef) запускается первой). Это неаутентная, мутирующая в состоянии паническая раковина, которую злоумышленник сети может вызвать по имени против любой записи AN. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-42083Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 промежуточное повествование PCF Npcf_SMPolicyControl позволяет неаутентифицированный доступ к обработчикам политики SM и раскрытию абонента SUPI. В NewServer() создается маршрутная группа smPolicyGroup и осуществляется маршруты без подключения промежуточного программного обеспечения для авторизации маршрутизатора. Напротив, другие группы обслуживания PCF, такие как Npcf_PolicyAuthorization, прикрепляют RouterAuthorizationCheck перед регистрацией маршрута. Поскольку промежуточный программ отсутствует, запросы на /npcf-smpolicycontrol/v1/sm-sm-policies, /npcf-smpolicycontrol/v1/sm-policies/{smPolicyId}, /npcf-smpolicycontrol/v1/sm-policies/{smPolicyId}/update и /npcf-smpolicycontrol/v1/sm-policies/{smPolicyId}/deleteконечные точки могут достичь бизнес-логики, даже если нет действующего токена OAuth. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-42459Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 компонент free5GC UDM не может проверить параметр пути супи в шести обработчиках GET службы nudm-sdm (управление данными подписчиков). Неаутентифицированный злоумышленник может вводить контрольные символы в параметр SUPI, в результате чего UDM перенаправляет исправленный запрос в UDR и возвращает ответ на ошибку 500 Внутреннего сервера, который раскрывает детали внутренней инфраструктуры. Эта уязвимость исправлена в 4.2.2.
CVE-2026-44325Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 корневой NRF-корневой точки SBI POST /oauth2/token от free5GC содержит семейство ошибок типа парсера. Обработчик в NFs/nrf/internal/sbi/api_accestoken.go отражает поверх моделей.NrfAccessTokenTokenReq, специальные кейсы только простые строки и NrfNfManagementNfType поля, и рассматривает любую другую область, как если бы это была одна модель. Затем разобранный *models.PlmnId назначается с reflect.Value.Set() к любому названию поля, которое злоумышленник помещает в тело формы, которое паникует всякий раз, когда реальный тип поля назначения несовместим (нарезка, другая структура, примитивная). Восстановление джемина преобразует каждую панику в HTTP 500, но конечную точку остается отдаленно панической от одного неаутентированного запроса, закодированного формы, и она неоднократно запускается. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44322Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 обработчик NEF PATCH /3gpp-pfd-management/v1/{afId}/transId}/transId}/appId}/appId} от free5GC паникует с отметкой в отношении нулевого указательного, когда вызов UDR выше по течению не удается, и потребительская оболочка возвращает err != nil вместе с нулем *ProblemDetails. Ветвь обработчика errPfdData != нуля строит свою проблемуDetailsErr правильно, но сразу после прочтения проблемыDetails.Cause (ДОКТОРАЯ величина, которая находится в нулевом уровне в этой ветке) и паникует. Восстановление гинза преобразует панику в HTTP 500, поэтому один PATCH против этой конечной точки возвращает 500 вместо предполагаемого ответа с контролируемой ошибкой всякий раз, когда доступ к UDR терпит неудачу. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44321Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, SMF free5GC монтирует группу маршрутов управления UPI без входящего промежутка программного обеспечения OAuth2. POST /upi/v1/upNodesLinks create-or-up обработчик принимает контролируемый злоумышленником JSON и передает его непосредственно в UpNodesFromConfiguration(), который вызывает logger.InitLog.Fatalf(...) при нескольких сбоев проверки. Одним из подтвержденных путей является проверка перекрытия UE-IP-пула: один неаутентифицированный POST, который добавляет новый UPF, чей пул перекрывает существующий UPF, завершает весь процесс SMF (docker ps показывает Exited (1)), а не только goroutine. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44319Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 NEF free5GC прекращает весь процесс, когда не может быть достигнута сохраненная подписка PFD Uri. В PfdChangeNotifier.FlushNotifications() уведомитель вызывает NnefPFDmanagementNotify(...) и при любой ошибке доставки вызывает logger.PFDManageLog.Fatal(err), который является os.Exit(1)-эквивалентом в Go. Злоумышленник, который может создать подписку PFD с выбранным злоумышленником оповещенным Uri, а затем вызвать изменение PFD, может детерминированно убить NEF при попытке асинхронной доставки - процесс выходит со статусом 1, сбрасывая всю поверхность SBI NEF до перезапуска. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44316Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, free5GC PCF POST /npcf-smpolicycontrol/v1/sm-sm-control (HandleCreateSmPolicyRequest) паникует с отявкой на нулевой указатель, когда нисходящий потребительский вызов OpenAPI (UDR поиск) возвращает 404 Не найденный, а потребительская обертка возвращает err != нуль. Наниматель регистрирует ошибку OpenAPI и продолжает выполнять вместо того, чтобы возвращаться, а затем уважает нульную реакцию на последующую линию и паникует. Восстановление джина превращает панику в HTTP 500, поэтому один POST в форме злоумышленника возвращает 500 вместо чистого 4xx всякий раз, когда нисходящий вид терпит неудачу. Процесс PCF продолжает работать. Спусковым крючком является один POST, содержащий ввод, который приводит к отказу поиска UDR по течению (например, неизвестный DNN). В 4.2.1 эта конечная точка также доступна без заголовка авторизации, поскольку группа маршрута PCF Npcf_SMPolicyControl монтируется без входящего промежутка программного обеспечения. Эта уязвимость зафиксирована в 4.2.2.
CVE-2023-47346Уязвимость переполнения буфера в free5gc 3.3.0, UPF 1.2.0 и SMF 1.2.0 позволяет злоумышленникам вызывать отказ в обслуживании через специально созданные PFCP-сообщения.
CVE-2026-44320Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, NEF free5GC устанавливает группу маршрутов без входного разрешения OAuth2/предъявителя. Кованый или произвольный токен на предъявителя (например, Авторизация: Предъявитель не-реально-токен) достаточно, чтобы добраться до обработчика SMF-обратного вызова - корпус обратного вызова разобран и отправлен в бизнес-логику NEF вместо того, чтобы быть отвергнутым на границе аутента. Та же первопричина, что и другие выводы NEF SBI: группа маршрута монтируется без какого-либо входящего промежутка программного обеспечения. NEF не аутентифицирует личность NF производителя перед обработкой содержимого обратного вызова; если злоумышленник может угадать или получить действительный NotifId, эта отсутствующий граница позволяет поддельным обратным звонкам действовать в реальном состоянии подписки. Маршрутная группа также доступна даже тогда, когда ServiceList не объявляет его (в нем перечислены только nnef-fdmanagement и nnef-oam). Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-42081Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2 AMF в Free5GC не проверяет возможности безопасности UE, полученные в сообщениях NGAP PathSwitchRequest, по сравнению с его локально сохраненными значениями, как это предусмотрено 3GPP TS 33.501 §6.7.3.1. Вредоносный gNB может перезаписать сохраненные возможности безопасности UE AMF с произвольными значениями, которые затем распространяется в сообщениях PathSwitchRequest Acknowledge и последующих сообщениях запроса на передачу. Это приводит к постоянному отказу в предоставлении услуг для затронутых UE. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-40249Free5GC - это реализация с открытым исходным кодом базовой сети 5G. В версиях 4.2.1 и ниже службы UDR обработчик PUT для обновления подписки на уведомления о Policy Data на /nudr-dr/v2/policy-data/subs-to-notify/{subsId} не возвращается после запроса ошибок извлечения или десеризации тела. Хотя ответы на ошибки HTTP 500 или 400 отправляются, выполнение продолжается, и процессор вызывается с потенциально неинициализированным или частично инициализованным объектом PolicyDataSubscription. Это отказоустойчивое поведение может позволить непреднамеренное изменение существующих подписок на уведомления о Policy Data с недействительным или пустым вводом, в зависимости от поведения процессора и хранилища. На момент публикации исправленная версия не была доступна.
CVE-2026-26025Free5GC SMF предоставляет функцию управления сеансом для бесплатных 5GC, проект с открытым исходным кодом для мобильных сетей пятого поколения (5G). В версиях до 1.4.1 включительный SMF паникует и завершает обработку деформированного запроса PFCP SessionReportRequest на интерфейсе PFCP (UDP/8805). Нет известного исправления вверх по течению, но некоторые обходные действия доступны. ACL/firewall интерфейс PFCP, поэтому только доверенные ПИ UPF могут достигать SMF (уменьшение поверхности спуфинга/злоупотребления); падение/проверка деформированных сообщений PFCP SessionRequest на краю сети, где это возможно, и/или добавить восстановление () вокруг диспетчера обработчика PFCP, чтобы избежать полного завершения процесса (только смягчение).
CVE-2026-26024Free5GC SMF предоставляет функцию управления сеансом для бесплатных 5GC, проект с открытым исходным кодом для мобильных сетей пятого поколения (5G). В версиях до 1.4.1 включительно SMF паникует и прекращает обработку деформированного запроса PFCP SessionRequest на интерфейсе PFCP (UDP/8805). Нет известного исправления вверх по течению, но некоторые обходные действия доступны. ACL/firewall интерфейс PFCP, поэтому только доверенные ПИ UPF могут достигать SMF (уменьшение поверхности спуфинга/злоупотребления); падение/проверка деформированных сообщений PFCP SessionRequest на краю сети, где это возможно, и/или добавить восстановление () вокруг диспетчера обработчика PFCP, чтобы избежать полного завершения процесса (только смягчение).
CVE-2026-25501Free5GC SMF предоставляет функцию управления сеансами для free5GC, проект с открытым исходным кодом для мобильных базовых сетей пятого поколения (5G). В версиях до 1.4.1 включительных факторов SMF паникует из-за отявления нулевой указки, и процесс SMF заканчивается. Это вызвано уродливым запросом PFCP SessionReportRequest на интерфейсе SMF PFCP (UDP/8805). Недоступно ни одного известного исправления вверх, но некоторые обходные пути доступны. Интерфейс ACL/firewall PFCP, поэтому только доверенные ПИ UPF могут достигать SMF (уменьшение поверхности спуфинга/злоупотребления); падение/проверка деформированных сообщений PFCP SessionReportRequest на краю сети, где это возможно, и/или добавить восстановление () вокруг диспетчера обработчика ПФУП, чтобы избежать полного завершения процесса (только смягчение).
CVE-2026-44324Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, южное DR-dr DELETE/subscription-subda/amf-subrescriptions/subsId}/amf-subscriptions Обработчик пописовщик паникует по одному аутентифицированному запросу против свежего экземпляра UDR, когда поставляемого ueId не существует в UESubsCollection. Процессор проверяет значение, ok := udrSelf.UESubsCollection.Load(ueId) и устанавливает 404 USER_NOT_FOUND проблемные деталях на пути промаха, но исполнение продолжается и сразу же запускается значение.(*udr_context.UESubsData) - утверждение типа Go на нулевом интерфейсе, который паникует с преобразованием интерфейса: интерфейс {} нет, не *context.UESubsData. Восстановление гинза превращает панику в HTTP 500, но конечную точку остается неоднократно панической. Эта уязвимость зафиксирована в 4.2.2.
CVE-2026-44323Free5GC - это реализация с открытым исходным кодом базовой сети 5G. До 4.2.2, нулевой DELETE/subr-dr DELETE/subscription-subda/amf-subents/subsInscriptions/subsId}/amf-subscriptions обработчик содержит нулевой контрольный пункт, до которого можно связаться с одним аутентифицированным запросом, после одного подготовительного аутентифицированного EE-подписки. Комендант проверяет _, ok = UESubsData.EeSubscriptionCllection[subsId] и устанавливает 404 проблемных деталями на пути промаха, но затем продолжает на UESubsData.EeSubscriptionCollection[subsId].AmfSubsscriptionInfos - осматривая ту же недостальную запись вместо возврата. Восстановление джина превращает панику в HTTP 500, но конечную точку остается неоднократно панической. Эта уязвимость зафиксирована в 4.2.2.