Vulnerabilidad en Single RAN (CVE-2025-24331)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

02/07/2025

Última modificación:

03/07/2025

Descripción

El servicio OAM de banda base Single RAN está diseñado para ejecutarse sin privilegios. Sin embargo, inicialmente comienza con privilegios de root y asigna ciertas capacidades antes de descender a un nivel sin privilegios. Las capacidades conservadas del período de root se consideran extensas tras la eliminación de privilegios y, en teoría, podrían permitir acciones que excedan el alcance previsto del servicio OAM. Estas acciones podrían incluir obtener privilegios de root, acceder a archivos propiedad de root, modificarlos como propietario del archivo y, posteriormente, devolverlos a la propiedad de root. Este problema se ha corregido a partir de la versión 24R1-SR 0.2 MP y posteriores. A partir de la versión 24R1-SR 0.2 MP, las capacidades del software del servicio OAM se limitan al mínimo necesario.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.40 MEDIA
Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.40

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.nokia.com/about-us/security-and-privacy/product-security-advisory/cve-2025-24331/