关键信息 漏洞标识 CVE编号: CVE-2025-24335 漏洞描述 漏洞类型: 服务拒绝 (Denial of Service) CVSS向量: CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:N/I:N/A:L CVSS评分: 2.0 影响范围 受影响产品和版本: Nokia Single RAN, 所有在24R1-SR 2.1 MP之前的版本 漏洞详情 描述: Nokia Single RAN基带软件版本早于24R1-SR 2.1 MP包含一个SOAP消息输入验证缺陷,理论上可能导致单个RAN基带OAM服务资源耗尽。 实际影响: 尚未检测到针对此漏洞的实际利用。然而,该问题已从24R1-SR 2.1 MP版本开始得到修正,通过为接收到的SOAP请求添加足够的输入验证,有效缓解了报告的问题。 可利用性: 此漏洞无法从移动网络运营商(MNO)内部架构之外进行利用,如用户设备(UE)、漫游网络或互联网。报告的单个RAN基带软件漏洞只能通过在MNO内部无线接入网络(RAN)管理网络中发送格式错误的SOAP消息来尝试利用。 缓解措施 修复计划: 修复程序已从24R1-SR 2.1 MP版本开始包含。 致谢 Guillaume Teissier (P1 Security France) Laurent Chigot (P1 Security France) Radu Balaci (Bell Mobility Canada) Maghna Patel (Bell Mobility Canada) 参考资料 无具体参考资料列出 时间线 公开披露日期: 2025年2月7日 最后更新日期: 2025年2月7日