Katalog CVE

CVE-2026-37225

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

FlexRIC w wersji 2.0.0 ulega awarii, gdy iApp otrzymuje żądanie E42_RIC_SUBSCRIPTION_REQUEST z pustym polem ricEventTriggerDefinition. Dekoder warstwy E42 akceptuje to jako ważne, jednak enkoder E2AP wymusza, aby to pole nie było puste, co prowadzi do awarii.

Ocena ryzyka

Zdalny, nieautoryzowany atakujący może spowodować awarię procesu iApp (port 36422) poprzez wykorzystanie niezgodności walidacji między warstwami, co może prowadzić do zakłóceń w działaniu systemu.

Rekomendacja

Zaleca się aktualizację FlexRIC do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów w celu wykrycia potencjalnych prób ataków.

Oryginalny opis (angielski, źródło NVD)

FlexRIC v2.0.0 crashes when the iApp receives an E42_RIC_SUBSCRIPTION_REQUEST with an empty ricEventTriggerDefinition field. The E42 layer decoder accepts this as valid, but the E2AP encoder asserts a non-empty constraint when forwarding the request. A remote unauthenticated attacker can crash the iApp process (port 36422) via SIGABRT by exploiting this cross-layer validation mismatch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS