CVE-2025-65564

Nome do Software Vulnerável e Versões Afetadas omec-upf versões 2.1.3-dev

Descrição Existe uma vulnerabilidade de negação de serviço no omec-upf. Especificamente, quando a UPF recebe uma Solicitação de Configuração de Associação PFCP sem o Elemento de Informação de Timestamp de Recuperação obrigatório, o manipulador de configuração de associação tenta desreferenciar um ponteiro nulo via IE.RecoveryTimeStamp() em vez de validar a mensagem. Isso resulta no término do processo, efetivamente causando a queda da UPF. Um atacante capaz de enviar mensagens de Solicitação de Configuração de Associação PFCP para o endpoint N4/PFCP da UPF pode explorar isso para causar quedas repetidas na UPF e interromper os serviços do plano de usuário. O endpoint vulnerável é o endpoint N4/PFCP. A função vulnerável é IE.RecoveryTimeStamp().

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere filtrar ou validar as mensagens de Solicitação de Configuração de Associação PFCP para garantir que o Elemento de Informação de Timestamp de Recuperação esteja presente antes de processá-las.