CVE-2026-40245 in Free5GC情報

要約

〜によって VulDB • 2026年05月31日

Free5GCは、5Gモバイルコアネットワーク向けのLinux Foundationのオープンソースプロジェクトです。バージョン4.2.1およびそれ以前には、UDR(Unified Data Repository)サービスにおける情報漏洩の脆弱性が存在します。GET /nudr-dr/v2/application-data/influenceData/subs-to-notify のハンドラは、必要なクエリパラメータが欠落している場合にHTTP 400エラーレスポンスを返しますが、その後処理を停止しません。実行はprocessor関数に継続され、この関数はデータリポジトリを照会し、SUPI/IMSI値を含むTraffic Influence Subscriptionsの完全なリストをレスポンスボディに追加します。5G Service Based Interfaceへのネットワークアクセスを持つ認証されていない攻撃者は、パラメータなしのHTTP GETリクエスト1回で保存された加入者識別子を取得できます。SUPIは5Gネットワークにおいて最も機微な加入者識別子であり、その露出はコアネットワークレベルでの3GPP SUCI秘匿メカニズムのプライバシー保証を損ないます。同じ欠落したreturnパターンのため、不正なsnssaiパラメータを送信した場合にも同様のバイパスが存在します。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年04月10日

モデレーション

承諾済み

エントリ

VDB-357832

EPSS

0.00506

アクティビティ

非常低い

ソース

Want to know what is going to be exploited?

We predict KEV entries!