Linziyuu

**Nome do Software Vulnerável e Versões Afetadas** free5GC versão 4.2.1 **Descrição** A Função de Exposição de Rede (NEF) monta o grupo de rotas `nnef-pfdmanagement` sem autorização de entrada OAuth2 ou token de portador (bearer-token). Isso permite que um invasor de rede com acesso à Interface Baseada em Serviço (SBI) utilize tokens de portador forjados ou arbitrários para realizar ações não autorizadas. Especificamente, invasores podem ler dados de aplicativos PFD através dos endpoints "/applications" e "/applications/{appID}", e criar ou excluir inscrições de notificação de alteração de PFD usando "/subscriptions" e "/subscriptions/{subID}". Isso ocorre porque o grupo de rotas é montado sem o middleware de autenticação de entrada necessário, apesar de estar declarado na `ServiceList` de tempo de execução, onde os operadores esperam proteção via OAuth2 emitido pelo NRF. **Recomendações** Atualize o free5GC para uma versão que incorpore a correção do pull request 23 no repositório NEF. Como medida paliativa temporária, restrinja o acesso de rede à Interface Baseada em Serviço (SBI) da NEF para garantir que apenas entidades confiáveis possam acessar os endpoints `nnef-pfdmanagement`.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões 4.1.0 até 4.2.1 **Descrição** Ocorre uma desreferência de ponteiro nulo (nil-pointer dereference) na função `HandleCreateSmPolicyRequest` do PCF quando uma chamada de consumidor OpenAPI downstream para a busca UDR retorna um erro `404 Not Found`. O manipulador registra o erro, mas continua a execução em vez de retornar, desreferenciando subsequentemente uma estrutura de resposta nula. Isso resulta em um erro HTTP 500 Internal Server Error. O problema pode ser acionado por meio de uma requisição POST para o endpoint '/npcf-smpolicycontrol/v1/sm-policies', especificamente ao fornecer entradas que causem a falha na busca UDR, como uma variável `dnn` desconhecida. Na versão 4.2.1, este endpoint está acessível sem um cabeçalho de `Authorization`. **Recomendações** Atualize o free5GC para uma versão que incorpore a correção do pull request 62 no repositório PCF. Como medida paliativa temporária, restrinja o acesso ao endpoint '/npcf-smpolicycontrol/v1/sm-policies' apenas a usuários autorizados para minimizar o risco de exploração não autenticada.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** O manipulador PCF para o endpoint "/npcf-policyauthorization/v1/app-sessions" contém uma falha que causa um pânico de tempo de execução ao processar uma solicitação autenticada específica. Isso ocorre quando a variável `ascReqData.suppFeat` é definida como "1" (o que habilita a negociação do recurso de roteamento de tráfego) e as entradas de `medComponents` fornecem um `afAppId`, mas omitem o `AfRoutReq`. Nesse cenário, o sistema chama a função `provisioningOfTrafficRoutingInfo()` com uma variável `routeReq` nula e tenta desreferenciar seus campos, como `RouteToLocs`, sem uma verificação de nulidade prévia. Isso resulta em um erro de endereço de memória inválido ou desreferência de ponteiro nulo. Embora o mecanismo de recuperação do Gin evite que todo o processo PCF trave, convertendo o pânico em um erro HTTP 500, um usuário autenticado pode disparar repetidamente este caminho para causar uma negação de serviço (DoS) por solicitação no processo de criação de sessão de aplicativo. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, evite definir a variável `ascReqData.suppFeat` como "1" quando o `AfRoutReq` estiver ausente em solicitações para o endpoint "/npcf-policyauthorization/v1/app-sessions".

**Nome do Software Vulnerável e Versões Afetadas** free5GC BSF versão 4.2.1 **Descrição** Ocorre uma gravação não sincronizada no mapa global `Subscriptions` dentro do manipulador BSF para o endpoint '/nbsf-management/v1/subscriptions/{subId}'. Enquanto o manipulador lê o mapa usando um bloqueio de leitura através da função `GetSubscription()`, a função `ReplaceIndividualSubcription()` grava no mesmo mapa sem adquirir um mutex quando uma assinatura não existe. Sob requisições PUT autenticadas simultâneas, isso leva a uma leitura e gravação simultâneas no mapa, fazendo com que o runtime do Go dispare um erro fatal não recuperável que encerra o processo. Isso resulta em uma negação de serviço (DoS), onde todo o serviço BSF torna-se indisponível até ser reiniciado. O ataque requer um token de acesso OAuth2 `nbsf-management` válido e visa a variável `subId`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Exposição de Rede (NEF) no free5GC encerra todo o processo quando um `notifyUri` de assinatura PFD armazenado não pode ser alcançado. Isso ocorre na função `PfdChangeNotifier.FlushNotifications()`, onde o notificador chama `NnefPFDmanagementNotify()`. Se ocorrer um erro de entrega, o sistema invoca `logger.PFDManageLog.Fatal(err)`, que é equivalente a `os.Exit(1)` em Go, fazendo com que o processo seja encerrado com o status 1 e derrubando toda a superfície da Interface Baseada em Serviço (SBI) até que ocorra a reinicialização. Um invasor pode explorar isso criando uma assinatura PFD com um `notifyUri` inacessível escolhido e, em seguida, disparando uma alteração de PFD. A tentativa de entrega acontece de forma assíncrona, o que significa que a solicitação de disparo pode retornar um código de sucesso antes que o processo NEF seja encerrado. Isso resulta em uma perda completa de disponibilidade do serviço NEF. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso à superfície SBI da NEF a fontes confiáveis para evitar que usuários não autorizados criem assinaturas PFD com valores de `notifyUri` maliciosos.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Exposição de Rede (NEF) no free5GC monta o grupo de rotas 'nnef-callback' sem autorização de entrada OAuth2 ou token de portador (bearer-token). Isso permite que um invasor alcance o manipulador SMF-callback usando um token de portador forjado ou arbitrário, pois o corpo da requisição é analisado e despachado para a lógica de negócio em vez de ser rejeitado na fronteira de autenticação. O NEF não autentica a identidade da Função de Rede (NF) produtora antes de processar o conteúdo do callback. Se um invasor obtiver ou adivinhar um `NotifId` válido, ele poderá enviar callbacks forjados para atuar em estados de assinatura reais, potencialmente corrompendo visões de influência de tráfego ou gerenciamento de PFD e afetando decisões de política downstream. O problema é acessível através do endpoint '/nnef-callback/v1/notification/smf' e permanece acessível mesmo que a `ServiceList` não declare o grupo de rotas. A vulnerabilidade envolve a variável `NotifId` e a função `SmfNotification`. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso de rede à interface SBI do NEF para garantir que apenas Funções de Rede confiáveis possam acessar o endpoint '/nnef-callback/v1/notification/smf'.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Gerenciamento de Sessão (SMF) no free5GC monta o grupo de rotas de gerenciamento `UPI` sem o middleware OAuth2 de entrada, permitindo acesso não autenticado. O endpoint `POST` '/upi/v1/upNodesLinks' aceita JSON controlado por um invasor e o passa para a função `UpNodesFromConfiguration()`. Esta função chama `logger.InitLog.Fatalf()` em diversas falhas de validação, como a verificação de sobreposição do pool de IP-UE, falhas de pool inválido ou de exclusão de pool estático. Como o `Fatalf` é equivalente a `os.Exit(1)`, ele encerra todo o processo SMF em vez de apenas a goroutine da requisição, levando a uma perda completa do serviço SMF, incluindo o estabelecimento de sessão PDU e consultas de política de UE, até que o processo seja reiniciado. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso de rede à Interface Baseada em Serviço (SBI) do SMF para evitar que requisições não autenticadas alcancem o endpoint '/upi/v1/upNodesLinks'.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Exposição de Rede (NEF) no free5GC contém um problema de desreferência de ponteiro nulo dentro da função `PatchIndividualApplicationPFDManagement()`. Isso ocorre quando uma solicitação PATCH é enviada para o endpoint "/3gpp-pfd-management/v1/{afId}/transactions/{transId}/applications/{appId}" enquanto a chamada upstream para o Repositório de Dados Unificado (UDR) falha e o wrapper do consumidor retorna um erro com um objeto `*ProblemDetails` nulo. Neste ramo de erro específico, o manipulador tenta ler `problemDetails.Cause` apesar de `problemDetails` ser nulo, levando a um pânico de tempo de execução. O mecanismo de recuperação do Gin converte esse pânico em um Erro Interno do Servidor HTTP 500. Este problema pode ser acionado sem um cabeçalho de Autorização, pois o grupo de rotas é montado sem o middleware de autenticação de entrada. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "/3gpp-pfd-management/v1/{afId}/transactions/{transId}/applications/{appId}" para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** O manipulador `nudr-dr` do UDR para o endpoint "DELETE /subscription-data/{ueId}/{servingPlmnId}/ee-subscriptions/{subsId}/amf-subscriptions" contém uma desreferência de ponteiro nulo (nil-pointer dereference). Isso ocorre quando uma solicitação é feita com um `subsId` inexistente após a criação de uma assinatura EE autenticada preparatória para alocar o estado do UE. O manipulador identifica a entrada ausente e define um erro 404, mas não retorna a execução, tentando subsequentemente acessar `UESubsData.EeSubscriptionCollection[subsId].AmfSubscriptionInfos`. Isso resulta em um pânico de tempo de execução que é convertido em um erro HTTP 500 pelo mecanismo de recuperação do Gin. Um invasor autenticado com um token de acesso OAuth2 `nudr-dr` válido pode disparar esse pânico repetidamente, levando a uma negação de serviço (DoS) por meio da degradação de recursos. **Recomendações** Atualize para a versão 4.2.2.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** O manipulador `nudr-dr` do UDR no free5GC contém um problema onde uma única requisição autenticada pode causar um panic. Isso ocorre quando uma requisição é feita para o endpoint "DELETE /subscription-data/{ueId}/{servingPlmnId}/ee-subscriptions/{subsId}/amf-subscriptions" e o `ueId` fornecido não existe na `UESubsCollection`. O sistema identifica o usuário ausente e define um erro 404 USER NOT FOUND, mas não interrompe a execução. Subsequentemente, ele tenta realizar uma asserção de tipo Go em uma interface nula usando a função `RemoveAmfSubscriptionsInfoProcedure()`, resultando em um panic de conversão de interface. Embora o mecanismo de recuperação do Gin converta esse panic em um erro HTTP 500, o endpoint permanece suscetível a panics repetidos, que podem ser usados para sustentar uma negação de serviço (DoS) por requisição, aumentando a sobrecarga de CPU e de gravação de logs. **Recomendações** Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "DELETE /subscription-data/{ueId}/{servingPlmnId}/ee-subscriptions/{subsId}/amf-subscriptions" para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** O endpoint SBI root do NRF "POST /oauth2/token" contém um erro de confusão de tipos no nível do parser. O manipulador em `NFs/nrf/internal/sbi/api accesstoken.go` utiliza reflexão sobre `models.NrfAccessTokenAccessTokenReq`, mas trata apenas campos de `string` simples e `NrfNfManagementNfType` como casos especiais, tratando todos os outros campos como `models.PlmnId`. Quando um invasor fornece um nome de campo no corpo do formulário que é incompatível com o tipo `models.PlmnId` (como um slice ou uma estrutura diferente), a função `reflect.Value.Set()` dispara um panic. Embora o mecanismo de recuperação do Gin converta esses panics em erros HTTP 500, o endpoint permanece suscetível a panics remotamente através de requisições form-encoded não autenticadas. Isso pode ser acionado usando diversos parâmetros, incluindo `requesterPlmnList`, `requesterSnssaiList`, `requesterSnpnList`, `targetSnpn`, `targetSnssaiList` e `targetNsiList`. **Recomendações** Atualizar para a versão 4.2.2.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Exposição de Rede (NEF) monta a API '3gpp-traffic-influence' sem exigir autorização inbound OAuth2 ou token de portador (bearer-token). Um invasor de rede com acesso à NEF na Interface Baseada em Serviço (SBI) pode realizar operações de criação, leitura, alteração (patch) e exclusão de assinaturas de influência de tráfego. Isso pode ser feito omitindo completamente o cabeçalho `Authorization` ou utilizando um token de portador forjado. Isso permite a criação de assinaturas `AnyUeInd=true` para afetar o direcionamento de tráfego de grupo ou de qualquer UE. Além disso, o grupo de rotas permanece acessível mesmo que a `ServiceList` na configuração de execução não a declare, o que significa que os operadores não podem desativar o serviço via configuração para mitigar o risco. **Recomendações** Atualize para a versão 4.2.2.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Exposição de Rede (NEF) monta o grupo de rotas 'nnef-oam' sem exigir autorização inbound OAuth2 ou token de portador. Um invasor de rede com acesso ao NEF na Interface Baseada em Serviço (SBI) pode acessar a rota OAM sem um cabeçalho `Authorization`, resultando em uma resposta 200 OK. Embora o manipulador OAM atual seja um stub que retorna `null`, o defeito abrange todo o grupo de rotas. Consequentemente, quaisquer operações futuras de Operações, Administração e Manutenção (OAM) adicionadas a este grupo carecerão de um limite de autenticação por padrão, permitindo a sondagem anônima e a potencial execução não autorizada de funções administrativas futuras. **Recomendações** Atualize para a versão 4.2.2.

**Nome do Software Vulnerável e Versões Afetadas** free5GC SMF versão 4.2.1 **Descrição** O SMF monta o grupo de rotas de gerenciamento `UPI` sem o middleware OAuth2 de entrada, permitindo acesso não autenticado. Uma falha na função `DeleteUpNodeLink` causa uma desreferência de ponteiro nulo ao processar solicitações para nós do tipo Access Network (AN), pois esses nós são construídos sem um objeto `UPF`. Especificamente, o manipulador chama `upNode.UPF.CancelAssociation()` incondicionalmente, levando a um pânico (panic). Além disso, a função `UpNodeDelete(upNodeRef)` é executada antes do pânico ocorrer, resultando na mutação da topologia do plano de usuário na memória. Um invasor de rede off-path pode explorar isso enviando uma solicitação `DELETE` para o endpoint "/upi/v1/upNodesLinks/{upNodeRef}" usando a variável `upNodeRef`, o que pode excluir entradas nomeadas arbitrárias e impedir a capacidade do SMF de usar esses nós para sessões legítimas. **Recomendações** Atualize o free5GC SMF para uma versão que incorpore a correção do pull request 199. Como medida paliativa temporária, restrinja o acesso de rede à interface SBI do SMF apenas a fontes autorizadas para evitar o acesso não autenticado ao endpoint "/upi/v1/upNodesLinks/".

**Nome do Software Vulnerável e Versões Afetadas** free5GC versão 4.2.1 **Descrição** A Função de Gerenciamento de Sessão (SMF) monta o grupo de rotas de gerenciamento `UPI` sem o middleware de autorização OAuth2 ou bearer-token. Isso permite que um invasor de rede com acesso à Interface Baseada em Serviço (SBI) realize operações não autorizadas enviando solicitações sem o cabeçalho `Authorization`. O problema é específico do grupo de rotas `UPI`, enquanto outros grupos, como o `nsmf-oam`, estão corretamente protegidos. Os detalhes técnicos incluem a capacidade de realizar as seguintes operações: - Operações de leitura através do endpoint '/upi/v1/upNodesLinks'. - Operações de escrita através do endpoint '/upi/v1/upNodesLinks' usando uma requisição `POST` para injetar nós UPF e payloads de link controlados pelo invasor. - Operações de exclusão através do endpoint '/upi/v1/upNodesLinks/{nodeID}'. Essa ausência de autenticação permite que um invasor leia a topologia do plano UP, envenene a visão do SMF sobre os UPFs para influenciar a seleção de sessões PDU ou interrompa a participação legítima de UPFs por meio de exclusões.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** A Função de Exposição de Rede (NEF) no free5GC monta a API '3gpp-pfd-management' sem autorização de entrada OAuth2 ou token de portador (bearer-token). Um invasor de rede com acesso à Interface Baseada em Serviço (SBI) pode usar tokens de portador forjados ou arbitrários para criar, ler e excluir estados de transação de gerenciamento de PFD. Isso permite a contaminação do estado de política usado pela Função de Gerenciamento de Sessão (SMF) e pela Função de Plano de Usuário (UPF) para a classificação de tráfego, o vazamento de dados de política da função de aplicação e a negação de serviço para regras de detecção de aplicação legítimas. Detalhes técnicos incluem: - Endpoints de API: '/3gpp-pfd-management/v1/{scsAsID}/transactions' e '/3gpp-pfd-management/v1/{scsAsID}/transactions/{transID}' - Parâmetros Vulneráveis: cabeçalho `Authorization` - Funções Vulneráveis: `PostPFDManagementTransactions()`, `GetIndividualPFDManagementTransaction()` e `DeleteIndividualPFDManagementTransaction()` Além disso, o grupo de rotas permanece acessível mesmo que a `ServiceList` na configuração de execução não a declare, o que significa que o serviço não pode ser desativado por meio dessa configuração. **Recomendações** Atualizar para a versão 4.2.2.

**Nome do Software Vulnerável e Versões Afetadas** free5GC versões anteriores a 4.2.2 **Descrição** O serviço PCF Npcf SMPolicyControl carece de middleware de autenticação na função `NewServer()`, onde o grupo de rotas `smPolicyGroup` é criado sem anexar o middleware `RouterAuthorizationCheck`. Isso permite que requisições não autenticadas ignorem a validação do token OAuth e alcancem a lógica de negócio. Este problema pode levar à divulgação do SUPI (Subscription Permanent Identifier) do assinante. Os endpoints afetados são "/npcf-smpolicycontrol/v1/sm-policies", "/npcf-smpolicycontrol/v1/sm-policies/{smPolicyId}", "/npcf-smpolicycontrol/v1/sm-policies/{smPolicyId}/update" e "/npcf-smpolicycontrol/v1/sm-policies/{smPolicyId}/delete". **Recomendações** Atualizar para a versão 4.2.2.

**Name of the Vulnerable Software and Affected Versions** free5GC versions prior to 1.2.2 **Description** free5GC CHF has an out-of-bounds slice access issue within the `nchf-convergedcharging` service. A valid, authenticated request to the `/nchf-convergedcharging/v3/recharging/:ueId?ratingGroup=...` **API Endpoint** can cause a server-side panic in the `github.com/free5gc/chf/internal/sbi.(*Server).RechargePut(...)` function due to an out-of-range slice access. While Gin recovery may convert the panic into an HTTP 500 error, the recharge path remains susceptible to repeated panic triggers, potentially degrading recharge functionality and flooding logs. Deployments lacking equivalent recovery mechanisms may experience more significant service disruptions. The issue involves accessing a slice outside its defined bounds, leading to unexpected program behavior. **Recommendations** Versions prior to 1.2.2: Restrict access to the `nchf-convergedcharging` recharge endpoint to only trusted NF callers. Versions prior to 1.2.2: Implement rate limiting or network ACLs before the CHF SBI interface to reduce repeated attempts to trigger the panic. Versions prior to 1.2.2: If the recharge API is not required, temporarily disable or block external access to this route. Versions prior to 1.2.2: Ensure panic recovery, monitoring, and alerting are enabled.

**Name of the Vulnerable Software and Affected Versions** free5GC SMF versions up to and including 1.4.1 **Description** free5GC SMF provides Session Management Function for free5GC, an open-source project for 5th generation (5G) mobile core networks. The SMF component experiences a panic and terminates when processing a malformed PFCP SessionReportRequest on the PFCP interface (UDP/8805). This issue occurs when receiving a malformed message via the `PFCP` interface. No upstream fix is currently available. Mitigation strategies include applying Access Control Lists (ACLs) or a firewall to the `PFCP` interface to restrict access to trusted UPF IPs, dropping or inspecting malformed `PFCP SessionReportRequest` messages at the network edge, or adding a recover function around the `PFCP` handler dispatch to prevent complete process termination. **Recommendations** free5GC SMF versions up to and including 1.4.1: Apply ACL/firewall rules to the `PFCP` interface (UDP/8805) to allow only trusted UPF IPs to connect. free5GC SMF versions up to and including 1.4.1: Drop or inspect malformed `PFCP SessionReportRequest` messages at the network edge. free5GC SMF versions up to and including 1.4.1: Add a recover function around the `PFCP` handler dispatch to prevent process termination.

**Name of the Vulnerable Software and Affected Versions** free5GC SMF versions up to and including 1.4.1 **Description** free5GC SMF provides the Session Management Function for free5GC, an open-source project for 5G mobile core networks. The software experiences a panic and terminates when processing a malformed PFCP SessionReportRequest on the PFCP (UDP/8805) interface. The issue occurs when receiving a malformed message via the PFCP interface, specifically a `SessionReportRequest`. No upstream fix is currently available. Mitigation strategies include restricting access to the PFCP interface to trusted UPF IPs, dropping or inspecting malformed PFCP SessionReportRequest messages at the network edge, or adding recover() around PFCP handler dispatch to prevent complete process termination. **Recommendations** free5GC SMF versions up to and including 1.4.1: Apply ACL/firewall rules to the PFCP interface to allow only trusted UPF IPs to connect. free5GC SMF versions up to and including 1.4.1: Drop or inspect malformed PFCP SessionReportRequest messages at the network edge. free5GC SMF versions up to and including 1.4.1: Add recover() around PFCP handler dispatch to avoid whole-process termination as a mitigation.