原文

free5GCは5Gコアネットワークのオープンソース実装です。バージョン4.2.2以前では、free5GCのPCFのPOST /npcf-smpolicycontrol/v1/sm-policiesハンドラー（HandleCreateSmPolicyRequest）が、ダウンストリームのOpenAPIコンシューマ呼び出し（UDRルックアップ）が404 Not Foundを返し、かつコンシューマラッパーがerr != nilかつレスポンス構造体がnilを返す場合にnilポインタ参照でパニックを起こします。ハンドラーはOpenAPIエラーをログに記録し、リターンせずに実行を続行します。その後の行でnilのレスポンス構造体をデリファレンスしてパニックになります。Ginのリカバリ機能はこのパニックをHTTP 500エラーに変換するため、ダウンストリームルックアップが失敗すると単一の攻撃者によるPOSTはクリーンな4xxではなく500エラーを返します。PCFプロセスは実行を継続します。この問題を引き起こすトリガーは、ダウンストリームのUDRルックアップを失敗させる入力を含む単一のPOST（例：未知のDNN）です。バージョン4.2.1では、PCFのNpcf_SMPolicyControlルートグループがインバウンド認証ミドルウェアなしでマウントされているため、このエンドポイントにAuthorizationヘッダーなしでアクセス可能でした。この脆弱性はバージョン4.2.2で修正されています。