CVE-2025-60632CVE-2025-60632是Free5GC v4.0.0和v4.0.1版本中存在的拒绝服务漏洞。该漏洞位于Npcf_BDTPolicyControl API组件中,攻击者通过发送精心构造的POST请求,可以导致服务中断。由于Free5GC是5G核心网的关键组成部分,承载着移动网络的核心功能,此漏洞可能影响5G网络的稳定性和可靠性。攻击具有网络可达性,无需认证即可发起,但需要一定的用户交互。CVSS评分6.5反映出该漏洞的可用性影响较高,但机密性和完整性影响较低。建议受影响用户及时更新至最新版本或应用官方发布的安全补丁。
Free5GC是一个开源的5G核心网实现,Npcf_BDTPolicyControl是用于处理背景数据传输策略的控制服务。漏洞源于API端点对POST请求参数验证不充分,攻击者可以构造异常的数据结构或超长的字段值触发处理逻辑错误。当恶意请求到达Npcf_BDTPolicyControl服务后,可能导致进程崩溃、服务无响应或资源耗尽。由于该服务通常是5G核心网中的关键组件,其不可用会影响注册、认证和数据传输等核心流程。攻击者可以利用自动化工具批量发送恶意请求,在短时间内造成大规模服务中断。建议在API网关层面实现输入验证和速率限制,并监控异常请求模式。