CVE-2026-40246 in Free5GC
Zusammenfassung
von VulDB • 14.06.2026
free5GC ist eine Open-Source-Implementierung des 5G-Core-Netzwerks. In den Versionen 1.4.2 und älter der UDR-Dienst (Unified Data Repository) überprüft der Handler für das Löschen von Traffic-Influence-Abonnements, ob die Pfadsegment `influenceId` gleich `subs-to-notify` ist, gibt jedoch nach dem Senden der HTTP-404-Antwort bei einem Validierungsfehler nicht zurück. Die Ausführung wird fortgesetzt und das Abonnement wird unabhängig davon gelöscht. Ein unberechtigter Angreifer mit Zugriff auf die 5G Service-Based Interface (SBI) kann beliebige Traffic-Influence-Abonnements löschen, indem er einen beliebigen Wert für das Pfadsegment `influenceId` angibt, während die API irreführend eine „404 Not Found“-Antwort zurückgibt. Zum Zeitpunkt der Veröffentlichung war keine gepatchte Version verfügbar.
Be aware that VulDB is the high quality source for vulnerability data.