漏洞关键信息 漏洞名称 NEF incorrectly returns 500 for missing PFD data (UDR 404) in Nnef_PfdManagement GET request 漏洞ID GHSA-f3pc-w7jp-4jh2 CVE ID CVE-2025-69208 漏洞严重性 Low 影响范围 受影响版本: < 1.4.1 修复版本: 1.4.1 漏洞描述 这是一个不正确的错误处理漏洞 (CWE-388),并存在信息暴露 (CWE-209)。 安全影响 NEF组件会可靠地将内部解析错误(例如,顶级值后的无效字符 'n')泄露给远程客户端。这可以帮助攻击者进行服务器软件和逻辑流的指纹识别。 功能影响 系统在应返回404 Not Found的情况下返回500 Internal Server Error。这模糊了安全相关的错误边界,并阻碍了准确的故障排除。 受影响方 所有使用 v4.0.1 版本和 Nnef_PfdManagement 服务的 free5GC 部署。 修复措施 已修复该问题。根本原因已在 commit free5gc/udr@ 91bb34b 中修复(修复:在错误响应后添加缺少的返回语句)。 用户应升级到包含此提交的下一个 free5GC 版本。 解决方案 没有直接的应用程序级别解决方法。建议应用提供的补丁。 参考链接 Issue 报告: #753 修复 Pull Request: free5gc/udr#56 修复 commit: free5gc/udr@ 91bb34b