一、 漏洞 CVE-2025-15528 基础信息
漏洞信息
# Open5GS GTPv2 会话耗尽漏洞
## 概述
Open5GS 存在一个拒绝服务漏洞,影响版本至 2.7.6。该漏洞存在于 GTPv2 Bearer Response Handler 组件的未知功能中,攻击者可远程利用该漏洞导致拒绝服务。
## 影响版本
Open5GS 2.7.6 及之前版本。
## 细节
漏洞位于 GTPv2 Bearer Response Handler 组件。通过操纵特定数据包,可触发异常行为导致服务中断。该漏洞的利用方式已在公开渠道披露,并存在被实际利用的风险。
## 影响
远程攻击者可利用该漏洞导致拒绝服务,使受影响系统无法正常提供服务。官方已发布补丁修复该问题,建议尽快应用补丁。
补丁标识:98f76e98df35cd6a35e868aa62715db7f8141ac1。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Open5GS GTPv2 Bearer Response denial of service
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability has been found in Open5GS up to 2.7.6. Affected by this vulnerability is an unknown functionality of the component GTPv2 Bearer Response Handler. Such manipulation leads to denial of service. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. The name of the patch is 98f76e98df35cd6a35e868aa62715db7f8141ac1. A patch should be applied to remediate this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
不恰当的资源关闭或释放
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-15528 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-15528 的情报信息
标题: sgwc/smf: handle late or orphan GTPv2 responses without abort · open5gs/open5gs@98f76e9 · GitHub -- 🔗来源链接
标签:patch
神龙速读:### 关键信息提取 #### Commit 概述 - **提交人**: acetcom - **提交时间**: 上周 - **提交描述**: 处理 GTPv2 延时或孤儿响应而不过早中止。 - **问题**: 防止 SGW-C 和 SMF 在接收到延时或孤儿的 GTPv2 承载响应(创建/更新/删除承载)时中止。 - **更改**: - 通过重试上下文查找来移除致命断言,仅在 UE/会话上下文缺失时返回“上下文未找到”信息。 - 改进 FSM 级别的 UE/会话查找,当接收到的 TEID 丢失、为零或无效时,尝试使用本地存储的 TEID 来识别。 - **额外说明**: - 这些更改确保 GTPv2 延时或孤儿响应不会导致 SGW-C 或 SMF 中止,而是能优雅地处理。 #### 改动的文件 3 个文件改动,共修改了 92 行代码,删除了 35 行。 - `src/sgwc/s11-handler.c` - `src/sgwc/sgwc-sm.c` - `src/smf/smf-sm.c` #### 链接的问题 - github #4225
标题: [Bug]: SGW-C crash on CreateBearerResponse (S11) - sgwc_s11_handle_create_bearer_response asserts sgwc_ue · Issue #4225 · open5gs/open5gs -- 🔗来源链接
标签:issue-tracking
神龙速读:从截图中,我们可以获取到以下关键信息关于该漏洞: - **漏洞标题**: SGW-C crash on CreateBearerResponse (S11) - sgwc_s11_handle_create_bearer_response asserts sgwc_ue - **漏洞类型**: 安全问题 (Type:Security) - **描述**: - SGW-C 可以通过在 S11 上发送延迟的 CreateBearerResponse 来崩溃,该响应是在相应的 UE 会话上下文被移除或以其他方式不存在之后收到的。 - 当 SGW-C 接收 CreateBearerResponse 之后相关 UE 会话上下文已经被移除或者以其他方式不存在时,会触发 `assert(s5c_s11_handle_create_bearer_response)`,导致控制面进程立即终止。 - **重现步骤**: - 启动一个新的 go 项目。 - 创建 poc_smf_csr_responder.go 和 poc_vuln_pa2_orphan_cbr.go 并粘贴下方代码。 - 使用 go 执行 poc 并观察 SGW-C 崩溃。 `poc_vuln_pa2_orphan_cbr.go` 和 `poc_smf_csr_responder.go` 代码段提供了执行此漏洞利用的概念验证 (PoC)。 - **日志**: .. - **预期行为**: SGW-C 在延迟的 CreateBearerResponse 时不应该崩溃。 - **观察到的行为**: SGW-C 崩溃。 - **参与节点/用户节点**: eNodeB/gNodeB 没有明确参与该漏洞。 - **涉事模式和版本**: 没有明确指定确切的模式,但 Open5GS 版本为 v2.7.6。 - **负责人**: 没有明确指定。 - **标签**: Housekeeping:ToClose, Type:Security。 以上是漏洞的关键信息,具体情况还需根据源代码和日志进行进一步分析。![[Bug]: SGW-C crash on CreateBearerResponse (S11) - sgwc_s11_handle_create_bearer_response asserts sgwc_ue · Issue #4225 · open5gs/open5gs](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-52-49.976Z-265c19c7e2f7ed4625ef.webp)
标题: [Bug]: SGW-C crash on CreateBearerResponse (S11) - sgwc_s11_handle_create_bearer_response asserts sgwc_ue · Issue #4225 · open5gs/open5gs -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:以下是该漏洞的关键信息,使用简洁的Markdown格式返回: --- ### 漏洞名称 [Bug]: SGW-C crash on CreateBearerResponse (S11) - sgwc_s11_handle_create_bearer_response asserts sgwc_ue ### 漏洞编号 #4225 ### 影响版本 v2.7.6 ### 漏洞描述 SGW-C 在收到延迟的 CreateBearerResponse 时可能会崩溃,特别是在相关 UE会话上下文已被移除或不存在的情况下。 ### 复现步骤 1. 使用提供的 PoC 代码启动程序。 2. 发送延迟的 CreateBearerResponse。 ### 漏洞影响 - 当 SGW-C 收到 CreateBearerResponse 后,相关的 UE会话上下文可能已被移除或不存在,导致 sgwc_s11_handle_create_bearer_response 函数中 `ogs_assert(sgwC_xact)` 断言失败。 - 这会立即终止控制平面进程。 ### 日志 ```plaintext 12/29 09:15:02.213: [sgwc] INFO: [Removed] Number of SGWC-Sessions is now 0 (../src/sgwc/context.c:930) ... ``` ### 预期行为 SGW-C 应该能够处理延迟的 CreateBearerResponse 而不会崩溃。 ### 观察到的行为 SGW-C 在处理延迟的 CreateBearerResponse 时崩溃。 ### 审查者或平台上报者 None ### 标签 - Housekeeping:ToClose - Type:Security ### 参与者 LinZiyuu![[Bug]: SGW-C crash on CreateBearerResponse (S11) - sgwc_s11_handle_create_bearer_response asserts sgwc_ue · Issue #4225 · open5gs/open5gs](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-52-50.737Z-5c96b77d779296f55d5f.webp)
- https://vuldb.com/?ctiid.341595signaturepermissions-required
标题: Submit #728128: Open5GS SGWC v2.7.6 Denial of Service -- 🔗来源链接
标签:third-party-advisory
神龙速读:## 关键漏洞信息 - **标题**: Open5GS SGWC v2.7.6 Denial of Service - **描述**: SGW-C 可以通过在 S11 上发送一个晚的 CreateBearerResponse 来崩溃,在已编排的呼叫流上。当 SGW-C 收到 CreateBearerResponse 后,相关的 UE/会话上下文已被移除或未找到,它会命中 ogs_assert(sgwc_ue) 在 sgwc_s11_handle_create_bearer_response 中,导致控制平面过程立即终止。 - **来源**: https://github.com/open5gs/open5gs/issues/4225 - **提交用户**: ZiyuLin (UID 93568) - **提交日期**: 2025-12-31 10:41 AM - **审核日期**: 2026-01-16 05:36 PM - **状态**: 已接受 - **VulDB 条目编号**: 234195 - **相关产品版本**: Open5GS up to 2.7.6 - **分类**: GTPv2 Bearer Response denial of service - **积分**: 19
标题: CVE-2025-15528 Open5GS GTPv2 Bearer Response denial of service (Issue 4225 / EUVD-2025-206296) -- 🔗来源链接
标签:vdb-entry
神龙速读:- **漏洞名称**:OPEN5GS up to 2.7.6 GTPv2 Bearer Response Denial of Service (CVE-2025-15528) - **影响范围**:Open5GS 版本 2.7.6 及以下版本 - **漏洞类型**: Denial of Service (DoS) - **组件**:GTPv2 Bearer Response Handler - ** CWE 分类**:CWE-404 (Improper Resource Shutdown or Release) - **CVE 编号**:CVE-2025-15528 - **攻击难度**:易于远程利用,无需认证 - **攻击特点**:通过操纵未知功能引发 DoS 攻击 - **修复建议**:部署补丁 98f76e98df35cd6a35e868aa62715db7f8141ac1 - **资源链接** - Github咨询建议:[github.com](github.com) - 漏洞展示:[EUVD-2025-206296](EUVD-2025-206296) - 补丁下载:[github.com](github.com)
- https://nvd.nist.gov/vuln/detail/CVE-2025-15528
四、漏洞 CVE-2025-15528 的评论
暂无评论