CRITICAL🇬🇧 English

CVE-2026-44326

Brak autoryzacji OAuth2 w API NEF systemu free5GC (5G core)

CVSS 9.4v3.1pub. 2026-05-27upd. 2026-05-28

free5GC w wersjach przed 4.2.2 nie wymaga poprawnej autoryzacji OAuth2/bearer-token dla interfejsu API 3gpp-traffic-influence wystawionego przez komponent NEF. Atakujący sieciowy mogący dosięgnąć NEF przez interfejs SBI może bez uwierzytelnienia lub z fałszywym tokenem manipulować subskrypcjami sterowania ruchem 5G, co stanowi poważne zagrożenie dla integralności i dostępności sieci.

Pokaż oryginał (EN)

free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, free5GC's NEF mounts the 3gpp-traffic-influence API without inbound OAuth2/bearer-token authorization. A network attacker who can reach NEF on the SBI can create, read, patch, and delete traffic-influence subscriptions either with no Authorization header at all, or with a forged bearer token (e.g. Authorization: Bearer not-a-real-token). This includes creating AnyUeInd=true subscriptions intended to affect group / any-UE traffic steering. The route group is also reachable even when the running config's ServiceList does not declare it, so operators who think they disabled the service via config are still exposed. This vulnerability is fixed in 4.2.2.

🤖 Analiza AI
Jak działa

Komponent NEF (Network Exposure Function) w free5GC montuje grupę routingu dla API 3gpp-traffic-influence bez weryfikacji nagłówka Authorization — akceptowane są zarówno żądania bez żadnego tokenu, jak i żądania z dowolnie sfabrykowanym tokenem bearer. Co więcej, podatna grupa routingu pozostaje dostępna nawet jeśli operator wyłączył usługę w konfiguracji (ServiceList), co sprawia, że administracyjne wyłączenie nie przynosi skutku. Atakujący może dzięki temu tworzyć, odczytywać, modyfikować i usuwać subskrypcje traffic-influence, w tym subskrypcje z flagą AnyUeInd=true oddziałujące na cały ruch grupy lub dowolnego UE.

Skutki

Atakujący może przejąć kontrolę nad politykami sterowania ruchem w sieci 5G — tworząc, modyfikując lub usuwając subskrypcje traffic-influence, może zakłócić lub przekierować ruch wszystkich użytkowników sieci (AnyUeInd=true), co prowadzi do utraty integralności i dostępności usług sieciowych. Możliwy jest również nieautoryzowany odczyt danych o subskrypcjach.

Mitygacja

Należy zaktualizować free5GC do wersji 4.2.2 lub nowszej, w której poprawka została wdrożona. Szczegóły dostępne w oficjalnym security advisory producenta oraz pull request #23 w repozytorium free5gc/nef.

Kogo dotyczy

free5GC (open-source implementacja sieci rdzeniowej 5G) w wersjach przed 4.2.2 — komponent NEF (Network Exposure Function).

Uwagi

Podatność dotyczy interfejsu SBI (Service-Based Interface) wewnątrz sieci rdzeniowej 5G — ryzyko eksploatacji jest najwyższe w przypadku nieodpowiednio segmentowanych środowisk, gdzie SBI jest dostępny z niezaufanych segmentów sieci. Operatorzy, którzy sądzili, że wyłączyli usługę przez konfigurację ServiceList, nadal pozostają narażeni — wyłączenie konfiguracyjne nie blokuje dostępu do podatnego routingu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:H
  • Free5gc

    APP
    Free5Gc
    < 4.2.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44330CRITICAL10.0PL ✓ten sam produkt

free5GC NEF: brak autoryzacji OAuth2 na trasach nnef-pfdmanagement

CVE-2026-44329CRITICAL10.0PL ✓ten sam produkt

free5GC SMF: brak autoryzacji OAuth2 na endpointach UPI — pełny dostęp bez uwierzytelnienia

CVE-2026-44327CRITICAL10.0PL ✓ten sam produkt

Brak autoryzacji OAuth2 w grupie tras OAM w free5GC NEF (5G core)

CVE-2026-44315CRITICAL9.4PL ✓ten sam produkt

Brak autoryzacji OAuth2 w NEF API sieci 5G (free5GC)

CVE-2023-4659CRITICAL9.8ten sam produkt

Cross-Site Request Forgery vulnerability, whose exploitation could allow an attacker to perform different acti...