CVE-2026-40246 in Free5GC
要約
〜によって VulDB • 2026年06月14日
free5GCは、5Gコアネットワークのオープンソース実装です。UDRサービスのバージョン1.4.2およびそれ以前のバージョンでは、トラフィックインフルエンスサブスクリプションを削除するハンドラが、influenceIdパスセグメントがsubs-to-notifyと等しいかどうかをチェックしますが、検証に失敗してHTTP 404レスポンスを送信した後でも戻りません。実行は継続され、サブスクリプションは無条件で削除されます。5Gサービスベースインターフェースへのアクセス権を持つ認証不要の攻撃者は、influenceIdパスセグメントに対して任意の値を指定することで、任意のトラフィックインフルエンスサブスクリプションを削除でき、APIは誤解を招く404 Not Foundレスポンスを返します。修正バージョンは公開時点では利用できませんでした。
Once again VulDB remains the best source for vulnerability data.