CVE-2026-44319

Nome do Software Vulnerável e Versões Afetadas free5GC versões anteriores a 4.2.2

Descrição A Função de Exposição de Rede (NEF) no free5GC encerra todo o processo quando um notifyUri de assinatura PFD armazenado não pode ser alcançado. Isso ocorre na função PfdChangeNotifier.FlushNotifications(), onde o notificador chama NnefPFDmanagementNotify(). Se ocorrer um erro de entrega, o sistema invoca logger.PFDManageLog.Fatal(err), que é equivalente a os.Exit(1) em Go, fazendo com que o processo seja encerrado com o status 1 e derrubando toda a superfície da Interface Baseada em Serviço (SBI) até que ocorra a reinicialização.

Um invasor pode explorar isso criando uma assinatura PFD com um notifyUri inacessível escolhido e, em seguida, disparando uma alteração de PFD. A tentativa de entrega acontece de forma assíncrona, o que significa que a solicitação de disparo pode retornar um código de sucesso antes que o processo NEF seja encerrado. Isso resulta em uma perda completa de disponibilidade do serviço NEF.

Recomendações Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso à superfície SBI da NEF a fontes confiáveis para evitar que usuários não autorizados criem assinaturas PFD com valores de notifyUri maliciosos.