一、 漏洞 CVE-2025-15532 基础信息
漏洞信息
# Open5GS 计时器资源消耗漏洞
## 概述
Open5GS 在版本 2.7.5 及之前存在一个安全漏洞,涉及 Timer Handler 组件的未知处理逻辑。
## 影响版本
Open5GS 2.7.5 及以下版本。
## 细节
该漏洞存在于 Timer Handler 组件中,具体触发条件与处理机制未明确。攻击者可通过远程操纵导致系统资源被持续消耗。
## 影响
攻击者可利用该漏洞进行远程攻击,造成资源耗尽,可能导致服务拒绝(DoS)。相关漏洞利用代码已公开。
## 补丁
修复提交标识为 c7c131f8d2cb1195ada5e0e691b6868ebcd8a845,建议尽快应用补丁。
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Open5GS Timer resource consumption
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A security flaw has been discovered in Open5GS up to 2.7.5. This issue affects some unknown processing of the component Timer Handler. The manipulation results in resource consumption. The attack may be performed from remote. The exploit has been released to the public and may be used for attacks. The patch is identified as c7c131f8d2cb1195ada5e0e691b6868ebcd8a845. It is best practice to apply a patch to resolve this issue.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-15532 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-15532 的情报信息
标题: [Bug]: SGW-C crashes when timer pool is exhausted by repeated Create Session Requests · Issue #4221 · open5gs/open5gs -- 🔗来源链接
标签:issue-tracking
神龙速读:### 关键信息总结 #### **漏洞标题** - **[Bug]: SGW-C crashes when timer pool is exhausted by repeated Create Session Requests #4221** #### **漏洞描述** - **问题类型**: 安全问题 (`Type:Security`) - **影响版本**: v2.7.6 #### **复现步骤** 1. **环境准备**: 在新文件夹中创建 Go 项目并下载所需的库。 2. **代码示例**: 提供了 Go 代码,用于生成大量 GTPv2 Create Session Request 消息,从而耗尽 SGW-C 的定时器池。 3. **运行程序**: 使用命令行参数启动程序并向 SGW-C 发送请求。 #### **日志输出** - **关键日志**: - `12/28 21:49:27.162: [sgwc] INFO: UE IMSI[001010000000006] APN[internet]` - `FATAL: ogs_pool_alloc() failed (...)` - `Assertion 'xact->tm_peer' failed` - `open5gs-sgwcd dumped core` #### **期望行为与实际行为** - **期望**: SGW-C 应拒绝或丢弃多余的 Create Session Requests,不造成拒绝服务。 - **实际**: SGW-C 崩溃并转储核心文件,导致拒绝服务。 #### **相关标签** - `Type:Security` - `Housekeeping:ToClose` #### **参与者** - **报告人**: LinZiyuu - **跟进人**: acetcom![[Bug]: SGW-C crashes when timer pool is exhausted by repeated Create Session Requests · Issue #4221 · open5gs/open5gs](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-52-50.736Z-9090cbfc5e6f2d28c0ce.webp)
标题: [Bug]: SGW-C crashes when UE pool is exhausted by repeated GTPv2 Create Session Requests · Issue #4220 · open5gs/open5gs -- 🔗来源链接
标签:exploitissue-tracking
神龙速读:### 关键漏洞信息 #### 漏洞标题 - **[Bug]: SGW-C crashes when UE pool is exhausted by repeated GTPv2 Create Session Requests #4220** #### 复现步骤 - **版本**:v2.7.6 - **描述**:通过发送多个GTPv2 Create Session Request (CSR) 消息可以在短时间内使Open5GS SGW-C崩溃。当UE/session上下文池达到上限时,分配返回NULL并触发断言,导致open5gs-sgwcd中断并转储核心。断言触发点在 `src/sgwc/context.c:217`。 #### 配置 - **配置细节**: 包含 logger, global, sgwc, pgw, dp 地址等详细配置信息。如: - **logger**: file, path - **global**: max, ue - **sgwc**: server address, port - **pgw**: server address, port #### 代码示例 - 包含一个Go语言编写的PoC代码,用于复现漏洞。使用了go-gtp库的API。 #### 日志信息 - 包含崩溃日志,崩溃点在`sie_bearers_add: backtrace()`的第9行。 #### 预期行为 - 当UE池耗尽时,SGW-C应该能优雅拒绝新的Create Session Requests,例如响应一个适当的GTP-C错误原因(如"资源不可用"/"系统故障"),继续运行而不中断,保证服务连续性。 #### 观察行为 - SGW-C在UE池耗尽时会触发`sgwc_ue_add`函数中的断言,进而导致open5gs-sgwcd中断,造成拒绝服务(DoS)。 #### 相关标签 - **Type:Security** - **Housekeeping:ToClose**![[Bug]: SGW-C crashes when UE pool is exhausted by repeated GTPv2 Create Session Requests · Issue #4220 · open5gs/open5gs](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-52-52.502Z-28096628c33dff4c1576.webp)
标题: [Bug]: SGW-C crashes when UE pool is exhausted by repeated GTPv2 Create Session Requests · Issue #4220 · open5gs/open5gs -- 🔗来源链接
标签:issue-tracking
神龙速读:### 关键漏洞信息 #### **问题标题** [Bug]: SGW-C crashes when UE pool is exhausted by repeated GTPv2 Create Session Requests #4220 #### **Open5GS 版本** v2.7.6 #### **复现步骤** 1. 启动一个新的 Go 项目并初始化:`go mod init poc`。 2. 创建 `main.go` 文件并粘贴代码。 3. 下载所需的库:`go mod tidy`。 4. 使用提供的参数运行程序以触发漏洞。 #### **描述** 通过在短时间内发送多个 GTPv2 创建会话请求(CSR)消息,可以可靠地导致 Open5GS 的 SGW-C 崩溃(远程 DoS)。当内部 SGW-C UE/session 上下文池达到其限制时,分配返回 NULL,导致代码路径触发硬断言,使 open5gs-sgwcd 中止并转储核心。 #### **配置** ```yaml logger: file: path: /var/log/open5gs/sgwc.log global: max: ue: 10 sgwc: gtpc: server: - address: 10.44.44.2 pfcp: server: - address: 10.44.44.2 client: sgwu: - address: 10.44.44.3 ``` #### **日志** ```plaintext 12/28 21:36:22.008: [sgwc] INFO: UE IMSI[001010000000009] APN[internet] 12/28 21:36:22.108: [sgwc] INFO: [Added] Number of SGWC-UEs is now 10 [...] 12/28 21:36:22.208: [sgwc] FATAL: sgwc_ue_add: Assertion `sgwc_ue` failed. [core] FATAL: backtrace() returned 9 addresses Aborted (core dumped) ``` #### **预期行为** 当 UE 池耗尽时,SGW-C 应该优雅地拒绝新的创建会话请求(例如,响应适当的 GTP-C 错误,如“No resources available”或“System failure”),然后继续运行而不会中止,以保持服务连续性。 #### **观察到的行为** SGW-C 在达到 UE 池限制时触发 `sgwc_ue_add` 中的致命断言,这立即使 open5gs-sgwcd 中止,造成拒绝服务(DoS)。![[Bug]: SGW-C crashes when UE pool is exhausted by repeated GTPv2 Create Session Requests · Issue #4220 · open5gs/open5gs](https://cvepdf.imfht.com:2443//ti_screenshot/2026-01-20/screenshot-full-2026-01-20T00-52-52.308Z-eb431bf1a7cee5a20c89.webp)
标题: core,gtp,pfcp,sgwc: avoid fatal asserts on pool and timer exhaustion · open5gs/open5gs@c7c131f · GitHub -- 🔗来源链接
标签:patch
神龙速读:- **Commit Message:** ``` core,gtp,pfcp,sgwc: avoid fatal asserts on pool and timer exhaustion Replace ogs_assert() and ogs_fatal() with runtime checks when allocating UE contexts, transactions, and timers. Handle pool and timer exhaustion gracefully by logging errors, cleaning up partially created objects, and returning NULL instead of aborting the process, improving control-plane robustness under high load or resource limits. ``` - **Key Changes:** - Replaced assertions (`ogs_assert()`) with runtime checks. - Added error logging for resource exhaustion. - Returned `NULL` instead of aborting the process on resource limits. - **Topics:** - Core module code modifications in `lib/core/ogs-timer.c` - GTP and PFCP transaction management in `lib/gtp/xact.c` and `lib/pfcp/xact.c` - SGWC context handling in `src/sgwc/context.c` - **Issues Addressed:** - #4220 - #4221 - **Commit SHA:** ``` c7c131f ``` - **Files Changed:** - `lib/core/ogs-timer.c`: +107 -20 - `lib/gtp/xact.c`: -110 +178 - `lib/pfcp/xact.c`: +46 -8 - `src/sgwc/context.c`: +9 -2
- https://vuldb.com/?ctiid.341599signaturepermissions-required
标题: CVE-2025-15532 Open5GS Timer resource consumption (4220/4221 / EUVD-2026-3137) -- 🔗来源链接
标签:vdb-entry
神龙速读:### 关键漏洞信息 - **CVE编号**: CVE-2025-15532 - **产品**: Open5GS - **受影响版本**: up to 2.7.5 - **漏洞类型**: Timer resource consumption - **CVSS评分**: - CVSSv4: - Base Score: ? (locked) - Reliability: ? - CVSSv3: - Base Score: 5.3 - Vector: AV:N/AC:L/Au:N/C:N/I:N/A:H - CVSSv2: - Base Score: 5.0 - Vector: AV:N/AC:L/Au:N/C:N/I:N/A:H - **漏洞描述**: - An issue has been found in the Timer Handler component of Open5GS up to 2.7.5. An unknown processing issue can lead to resource consumption. This can be exploited remotely in a proof-of-concept attack. - **CVSS评分**: - CVSSv4: N/A (locked) - CVSSv3: 5.3 - CVSSv2: 5.0 - **Exploit**: - Status: Proof-of-Concept - Remote exploit is possible. - Technical details: Public - **Mitigation**: - Patch is recommended and available.
- https://vuldb.com/?submit.729354third-party-advisory
标题: Submit #729357: Open5GS SGWC v2.7.6 Denial of Service -- 🔗来源链接
标签:third-party-advisory
神龙速读:- **产品名称**: Open5GS SGWC - **版本**: v2.7.6 - **漏洞类型**: 拒绝服务(DoS) - **漏洞描述**: - Open5GS SGW-C 可以通过在短时间内发送多个 GTPv2 Create Session Request (CSR) 消息可靠地崩溃(远程 DoS)。 - SGW-C 最终无法分配计时器资源,导致在 lib/core/ogs-timer.c:84 处发生硬断言失败,这会使 open5gs-sgwcd 中断并转储核心。 - **漏洞影响**: - SGW-C 会持续运行以保持服务连续性,但在遇到过多的 Create Session 请求时,可能会拒绝或丢弃请求。 - 当计时器池耗尽时,SGW-C 应优雅地拒绝或丢弃多余的 Create Session 请求,并继续运行而不触发断言。 - 如果遇到“没有可用资源”或“系统故障”等适当的原因,可以继续处理分配故障而不触发断言。 - **补丁或漏洞修复**: 无(截至截图日期)
- https://nvd.nist.gov/vuln/detail/CVE-2025-15532
四、漏洞 CVE-2025-15532 的评论
暂无评论