CRITICAL🇬🇧 English

CVE-2026-44330

free5GC NEF: brak autoryzacji OAuth2 na trasach nnef-pfdmanagement

CVSS 10.0v3.1pub. 2026-05-27upd. 2026-05-28

W open-source'owej implementacji sieci 5G Core — free5GC — przed wersją 4.2.2 komponent NEF (Network Exposure Function) nie wymaga autoryzacji OAuth2/bearer-token na grupie tras nnef-pfdmanagement. Atakujący sieciowy może użyć dowolnego lub sfałszowanego tokenu, aby odczytać dane aplikacji PFD oraz manipulować subskrypcjami powiadomień o zmianach PFD.

Pokaż oryginał (EN)

free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, free5GC's NEF mounts the nnef-pfdmanagement route group without inbound OAuth2/bearer-token authorization. A network attacker who can reach NEF on the SBI can use a forged or arbitrary bearer token (e.g. Authorization: Bearer not-a-real-token) to read PFD application data via GET /applications and GET /applications/{appID}, and to create or delete PFD change-notification subscriptions via POST /subscriptions and DELETE /subscriptions/{subID}. Same root cause as the other NEF SBI findings: the route group is mounted without any inbound auth middleware. Unlike the OAM and traffic-influence groups, nnef-pfdmanagement IS declared in the runtime ServiceList, so this is the production-intended path that operators expect to be protected by OAuth2 setting receive from NRF: true -- and it is not. This vulnerability is fixed in 4.2.2.

🤖 Analiza AI
Jak działa

Grupa tras nnef-pfdmanagement jest montowana w NEF bez żadnego middleware weryfikującego przychodzący token autoryzacyjny. Oznacza to, że nagłówek 'Authorization: Bearer <cokolwiek>' jest akceptowany bez walidacji, a rzeczywiste sprawdzenie tożsamości wywołującego nie następuje. Pomimo że nnef-pfdmanagement figuruje w produkcyjnym ServiceList i powinien być chroniony przez ustawienie OAuth2 'receive from NRF: true', ochrona ta nie jest faktycznie egzekwowana. Tym samym każdy podmiot mający dostęp sieciowy do interfejsu SBI NEF może wykonywać operacje GET /applications, GET /applications/{appID}, POST /subscriptions oraz DELETE /subscriptions/{subID} bez uwierzytelnienia.

Skutki

Atakujący z dostępem sieciowym do SBI może odczytać dane konfiguracyjne aplikacji PFD (naruszenie poufności) oraz tworzyć lub usuwać subskrypcje powiadomień o zmianach PFD, co może zakłócić działanie produkcyjnej sieci 5G Core (naruszenie integralności i dostępności).

Mitygacja

Należy zaktualizować free5GC do wersji 4.2.2 lub nowszej, w której podatność została naprawiona. Dodatkowo, do czasu aktualizacji, zaleca się ograniczenie dostępu sieciowego do interfejsu SBI NEF wyłącznie do zaufanych komponentów sieci rdzeniowej za pomocą reguł firewall lub segmentacji sieci.

Kogo dotyczy

free5GC we wszystkich wersjach przed 4.2.2 — dotyczy komponentu NEF (Network Exposure Function) w implementacji sieci 5G Core

Uwagi

Podatność ma to samo źródło co inne zgłoszone podatności NEF SBI w free5GC (brak inbound auth middleware). W odróżnieniu od grup OAM i traffic-influence, nnef-pfdmanagement jest zadeklarowana w produkcyjnym ServiceList, co czyni tę ścieżkę szczególnie istotną operacyjnie.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
  • Free5gc

    APP
    Free5Gc
    < 4.2.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-44329CRITICAL10.0PL ✓ten sam produkt

free5GC SMF: brak autoryzacji OAuth2 na endpointach UPI — pełny dostęp bez uwierzytelnienia

CVE-2026-44327CRITICAL10.0PL ✓ten sam produkt

Brak autoryzacji OAuth2 w grupie tras OAM w free5GC NEF (5G core)

CVE-2026-44326CRITICAL9.4PL ✓ten sam produkt

Brak autoryzacji OAuth2 w API NEF systemu free5GC (5G core)

CVE-2026-44315CRITICAL9.4PL ✓ten sam produkt

Brak autoryzacji OAuth2 w NEF API sieci 5G (free5GC)

CVE-2023-4659CRITICAL9.8ten sam produkt

Cross-Site Request Forgery vulnerability, whose exploitation could allow an attacker to perform different acti...