Vulnerabilidad en O2 UK (CVE-2025-48219)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/05/2025
Última modificación:
19/05/2025
Descripción
O2 UK, hasta el 17/05/2025, permite a los suscriptores determinar el ID de celda de otros suscriptores iniciando una llamada IMS (Subsistema Multimedia IP) y leyendo el campo utran-cell-id-3gpp de una cabecera SIP Cellular-Network-Info, también conocida como fuga de ECI (Identidad de Celda E-UTRAN). El ID de celda podría utilizarse para identificar la ubicación de una celda mediante datos de colaboración abierta y podría corresponder a un área física pequeña (por ejemplo, si el receptor de la llamada se encuentra en el centro de una ciudad). La eliminación de la cabecera Cellular-Network-Info se menciona en la sección 4.4.19 de ETSI TS 124 229.
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Referencias a soluciones, herramientas e información
- https://mastdatabase.co.uk/blog/2025/05/o2-expose-customer-location-call-4g/
- https://news.ycombinator.com/item?id=44014046
- https://www.etsi.org/deliver/etsi_ts/124200_124299/124229/15.10.00_60/ts_124229v151000p.pdf
- https://www.ispreview.co.uk/index.php/2025/05/o2-uk-fixes-volte-flaw-that-exposed-user-mobile-location-data.html