Vulnerabilidad en Nokia Single RAN (CVE-2025-24330)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

02/07/2025

Última modificación:

03/07/2025

Descripción

El envío de un mensaje de operación SOAP "aprovisionado" con el campo PlanId dentro de la red de gestión de la Red de Acceso Radio (RAN) interna del Operador de Red Móvil (MNO) puede causar un problema de path traversal en el software de banda base de Nokia Single RANa con versiones anteriores a la 24R1-SR 1.0 MP. Este problema se ha corregido en la versión 24R1-SR 1.0 MP y posteriores. A partir de la versión 24R1-SR 1.0 MP, el software del servicio OAM realizó validaciones de entrada del campo PlanId para mitigar el problema de path traversal reportado.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:A/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.nokia.com/about-us/security-and-privacy/product-security-advisory/cve-2025-24330/