漏洞概述 Ericsson发布了针对Packet Core Gateway (PCG)的安全更新,以解决可能导致服务退化的安全问题。具体漏洞包括: 1. CVE-2026-25657: - 描述:PCG版本1.30之前存在“不当处理语法无效结构”(CWE-228)漏洞,攻击者通过持续发送精心构造的消息可导致服务退化。 - CVSS评分:7.1(高) - CVSS向量:CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 2. CVE-2026-25658: - 描述:PCG版本1.30之前存在“不当处理缺失值”(CWE-238)漏洞,攻击者通过持续发送精心构造的消息可导致服务退化。 - CVSS评分:7.1(高) - CVSS向量:CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 3. CVE-2026-25659: - 描述:PCG版本1.30之前存在“不当处理缺失值”(CWE-238)漏洞,攻击者通过持续发送精心构造的消息可导致服务退化。 - CVSS评分:7.1(高) - CVSS向量:CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 影响范围 受影响产品:Packet Core Gateway (PCG) 受影响版本:所有1.30之前的版本 修复方案 更新版本:1.30 操作步骤:下载并安装更新版本以保护系统。 其他信息 致谢:感谢Clemens Keil、Manfred Heinz、Patrick Walker(BDO Cyber Security GmbH)和BSI 5G/6G Security Lab TEMIS(德国联邦信息安全办公室)报告这些漏洞。 额外信息: - Ericsson的漏洞严重程度评估基于已安装系统的平均风险,可能不代表您组织的真实风险。建议根据具体配置评估风险。 - 如有疑问,请联系当地Ericsson支持代表或访问Customer Support页面。 - 了解更多关于漏洞管理流程的信息,请访问Ericsson Product Security Incident Response Team (PSIRT)页面。 修订历史 修订版本:1.0 日期:2026年6月5日 描述:初始发布 代码块 页面中未包含POC代码或利用代码。