CVE-2026-44322

Nome do Software Vulnerável e Versões Afetadas free5GC versões anteriores a 4.2.2

Descrição A Função de Exposição de Rede (NEF) no free5GC contém um problema de desreferência de ponteiro nulo dentro da função PatchIndividualApplicationPFDManagement(). Isso ocorre quando uma solicitação PATCH é enviada para o endpoint "/3gpp-pfd-management/v1/{afId}/transactions/{transId}/applications/{appId}" enquanto a chamada upstream para o Repositório de Dados Unificado (UDR) falha e o wrapper do consumidor retorna um erro com um objeto *ProblemDetails nulo. Neste ramo de erro específico, o manipulador tenta ler problemDetails.Cause apesar de problemDetails ser nulo, levando a um pânico de tempo de execução. O mecanismo de recuperação do Gin converte esse pânico em um Erro Interno do Servidor HTTP 500. Este problema pode ser acionado sem um cabeçalho de Autorização, pois o grupo de rotas é montado sem o middleware de autenticação de entrada.

Recomendações Atualize para a versão 4.2.2. Como medida paliativa temporária, restrinja o acesso ao endpoint "/3gpp-pfd-management/v1/{afId}/transactions/{transId}/applications/{appId}" para minimizar o risco de exploração.