关键漏洞信息 漏洞标识符 CVE编号: CVE-2025-24333 漏洞类型 类型: Shell Injection CVSS评分 CVSS向量: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS分数: 6.4 描述 Nokia Single RAN基站软件早于24R1-SR 1.0 MP版本存在管理用户shell输入验证缺陷,认证的管理员用户可以通过在基站内部COMA_config.xml文件中添加特殊字符来注入任意命令,从而在未授权的基站OAM服务进程中执行。 此漏洞无法从移动网络运营商(MNO)内部架构之外访问,例如从移动终端设备(UE)、移动网络或互联网。报告的问题仅对经过身份验证的Single RAN基站管理用户在MNO内部Radio Access Network (RAN)管理网络中可见,在软件版本早于24R1-SR 1.0 MP时。 目前没有针对此管理用户shell输入验证缺陷的实际利用代码。该问题已从24R1-SR 1.0 MP及更高版本开始修复,通过为OAM服务进程添加适当的输入验证,防止通过基站内部COMA_config.xml文件注入特殊字符。 影响的产品和版本 产品: Nokia Single RAN 版本: 所有早于24R1-SR 1.0 MP的版本 缓解计划 修复程序已从24R1-SR 1.0 MP版本开始包含。 致谢 Guillaume Telsier (P1 Security France) Laurent Ghigoris (P1 Security France) Radu Reiser (Bell Mobility Canada) Myphra Pestl (Bell Mobility Canada) 参考资料 无