Plataforma
go
Componente
github.com/ellanetworks/core
Corregido en
1.7.1
1.7.0
CVE-2026-33906 describe una vulnerabilidad de elevación de privilegios en Ella Core, específicamente a través del proceso de restauración de la base de datos. Esta falla permite a un atacante con acceso limitado obtener privilegios más elevados dentro del sistema. La vulnerabilidad afecta a versiones anteriores a 1.7.0 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad permite a un atacante con acceso a la funcionalidad de restauración de la base de datos, obtener privilegios de administrador o de usuario con mayores permisos de los que le corresponden. Esto podría resultar en la modificación de la configuración del sistema, el acceso a datos sensibles, la ejecución de código malicioso o el control total del sistema Ella Core. El impacto es significativo, ya que un atacante podría comprometer la integridad y confidencialidad de los datos almacenados y procesados por la plataforma.
La vulnerabilidad fue publicada el 2 de abril de 2026. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (elevación de privilegios) la convierte en un objetivo atractivo para atacantes. Se recomienda monitorear los sistemas Ella Core para detectar posibles intentos de explotación. La vulnerabilidad no se encuentra en el KEV de CISA al momento de la redacción.
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-33906 es actualizar Ella Core a la versión 1.7.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso a la funcionalidad de restauración de la base de datos solo a usuarios autorizados y con la menor cantidad de privilegios posible. Implementar controles de acceso estrictos y auditoría de las acciones de restauración puede ayudar a detectar y prevenir intentos de explotación. Se recomienda revisar la configuración de la base de datos para asegurar que solo los usuarios necesarios tengan permisos de escritura.
Actualice Ella Core a la versión 1.7.0 o posterior. Esta versión corrige la vulnerabilidad de escalada de privilegios al eliminar los permisos de copia de seguridad y restauración del rol NetworkManager.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33906 is a HIGH severity vulnerability in Ella Core versions before 1.7.0. It allows an attacker with NetworkManager role access to escalate privileges via database restore, potentially gaining control of the system.
You are affected if you are running Ella Core versions prior to 1.7.0 and have not implemented compensating controls to restrict database restore access.
Upgrade Ella Core to version 1.7.0 or later. If immediate upgrade is not possible, restrict access to the database restore functionality and implement strict role-based access controls.
There are currently no public reports of active exploitation campaigns for CVE-2026-33906, but the vulnerability's nature suggests potential for exploitation.
Refer to the Ella Networks security advisories page for the latest information and official advisory regarding CVE-2026-33906. (Link to advisory would be placed here if available)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.