诺基亚曝高危漏洞致电信网络面临远程代码执行风险

PH值

FreeBuf

诺基亚WaveSuite网络运营中心（WS-NOC）平台——电信和企业网络环境的核心组件——被曝存在两个严重漏洞（CVE-2025-24938和CVE-2025-24936），攻击者可利用这些漏洞在底层操作系统执行任意命令。这两个漏洞的CVSS评分分别为8.4和9.0，甚至可通过低权限账户进行利用。

高危漏洞技术细节
CVE-2025-24938漏洞源于通过Web界面创建账户时对用户输入的验证不足。该漏洞允许高权限攻击者（如管理员）直接向服务器操作系统注入命令。

安全公告指出："拥有应用程序高权限（管理员）访问权的攻击者，有可能以Web服务器上下文在操作系统上执行命令。"由于该漏洞组件与网络堆栈绑定，任何能访问管理面板的互联网用户都可能成为攻击面，配置不当的部署可能演变为全面安全事件。

CVE-2025-24936漏洞则通过未过滤的URL参数实现命令注入。与前者不同，该漏洞可被低权限用户利用，显著提升了其严重性和潜在影响。公告强调："拥有应用程序低权限访问权的攻击者，可能以Web服务器上下文在操作系统上执行命令。"

全球电信网络面临威胁
鉴于WS-NOC平台在全球电信环境中的广泛应用，这些漏洞构成了严重的远程执行威胁。受影响版本包括WS-NOC 23.6、23.12和24.6，官方已在24.6 FP3及后续版本中发布补丁。