CVE-2026-37227
HighCVSS 7.5Summary
FlexRIC w wersji 2.0.0 zawiera osiągalne wywołania assert(0) w obsłudze wiadomości stub dla dozwolonych, ale niezaimplementowanych typów wiadomości E2AP w near-RT RIC. Zdalny, nieautoryzowany atakujący może wysłać dekodowalny E2AP PDU takiego typu (np. E2nodeConfigurationUpdate), co prowadzi do awarii procesu near-RT RIC (port 36421) poprzez SIGABRT.
Risk Assessment
Atakujący może wykorzystać tę podatność do zdalnego zablokowania procesu near-RT RIC, co może prowadzić do przerwy w działaniu usług i zakłócenia w zarządzaniu siecią. To stwarza ryzyko dla stabilności i dostępności systemu.
Recommendation
Zaleca się aktualizację do najnowszej wersji FlexRIC, która eliminuje te wywołania assert(0) oraz wprowadza odpowiednie zabezpieczenia. Należy również monitorować ruch sieciowy w celu wykrywania potencjalnych prób ataków.
Original NVD description (English source)
FlexRIC v2.0.0 contains reachable assert(0) calls in stub message handlers for whitelisted but unimplemented E2AP message types in the near-RT RIC. A remote unauthenticated attacker can send a decodable E2AP PDU of such a type (e.g., E2nodeConfigurationUpdate) to crash the near-RT RIC process (port 36421) via SIGABRT. The message passes whitelist validation but triggers an unconditional assertion in the handler.

