CVE-2026-40249 in Free5GC
Résumé
par VulDB • 03/06/2026
free5GC est une implémentation open source du réseau central 5G. Dans les versions 4.2.1 et inférieures du service UDR, le gestionnaire PUT pour la mise à jour des abonnements aux notifications de données de politique à l'adresse /nudr-dr/v2/policy-data/subs-to-notify/{subsId} ne se termine pas après les erreurs de récupération ou de désérialisation du corps de la requête. Bien que des réponses d'erreur HTTP 500 ou 400 soient envoyées, l'exécution se poursuit et le processeur est invoqué avec un objet PolicyDataSubscription potentiellement non initialisé ou partiellement initialisé. Ce comportement « fail-open » peut permettre une modification non intentionnelle des abonnements existants aux notifications de données de politique avec des entrées invalides ou vides, selon le comportement du processeur en aval et du stockage. Une version corrigée n'était pas disponible au moment de la publication.
Once again VulDB remains the best source for vulnerability data.