Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Cross-Site Request Forgery en Free5Gc

Fecha de publicación 18/09/2023
Identificador

INCIBE-2023-0394

Importancia
5 - Crítica
Recursos Afectados

Open5Gc, versión 1.1.1.

Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Free5Gc, un proyecto de código abierto para redes móviles de 5ª generación (5G), la cual ha sido descubierta por Edgar Carrillo Egea.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y tipo de vulnerabilidad CWE:

  • CVE-2023-4659: CVSS v3.1: 9,8 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-352.
Solución

La vulnerabilidad ha sido solucionada en su última versión. Para más información, consultar las referencias.

Detalle

CVE-2023-4659: vulnerabilidad de Cross-Site Request Forgery, cuya explotación podría permitir a un atacante realizar diferentes acciones en la plataforma como administrador, simplemente cambiando el valor del token a "admin". También es posible realizar peticiones POST, GET y DELETE sin ningún valor de token. Por lo tanto, un usuario remoto sin privilegios es capaz de crear, borrar y modificar usuarios dentro de la aplicación.