CVE-2026-44328
WysokieStreszczenie
W wersjach przed 4.2.2, free5GC's SMF montuje grupę tras zarządzania UPI bez middleware OAuth2 dla przychodzących żądań. W wyniku tego, nieautoryzowane żądanie DELETE /upi/v1/upNodesLinks/gNB1 powoduje awarię handlera z powodu panicznego wskaźnika nil oraz modyfikuje w pamięci topologię użytkownika.
Ocena ryzyka
Atakujący zdalny może wykorzystać tę podatność do wywołania awarii usługi (DoS) oraz zmiany stanu systemu, co może prowadzić do zakłóceń w działaniu sieci 5G.
Rekomendacja
Zaleca się aktualizację do wersji 4.2.2 lub nowszej, aby usunąć tę podatność oraz zabezpieczyć system przed nieautoryzowanymi dostępami.
Oryginalny opis (angielski, źródło NVD)
free5GC is an open-source implementation of the 5G core network. Prior to 4.2.2, free5GC's SMF mounts the UPI management route group without inbound OAuth2 middleware. On top of that, the DELETE /upi/v1/upNodesLinks/{upNodeRef} handler unconditionally dereferences upNode.UPF after the type-guarded async release, even though AN-typed nodes are constructed without a UPF object. As a result, a single unauthenticated DELETE /upi/v1/upNodesLinks/gNB1 request crashes the handler with a nil-pointer panic AND mutates the in-memory user-plane topology before panicking (the UpNodeDelete(upNodeRef) line runs first). This is an unauthenticated, state-mutating panic-DoS sink that an off-path network attacker can trigger by name against any AN entry. This vulnerability is fixed in 4.2.2.

