Platform
go
Component
github.com/ellanetworks/core
Opgelost in
1.7.1
1.7.0
CVE-2026-33906 beschrijft een Privilege Escalation kwetsbaarheid in Ella Core, een project ontwikkeld door ellanetworks. Deze kwetsbaarheid stelt een aanvaller in staat ongeautoriseerde toegang te verkrijgen via de Database Restore functionaliteit, specifiek via de NetworkManager rol. De kwetsbaarheid is ontdekt en gepubliceerd op 2 april 2026. Een fix is beschikbaar in versie 1.7.0.
Deze Privilege Escalation kwetsbaarheid in Ella Core kan aanzienlijke gevolgen hebben. Een succesvolle exploitatie stelt een aanvaller in staat om de controle over het systeem te verwerven door ongeautoriseerde toegang te krijgen tot gevoelige data en configuraties via de Database Restore functionaliteit. De NetworkManager rol lijkt een specifieke toegangspunt te zijn voor deze aanval. Dit kan leiden tot dataverlies, verstoring van de dienstverlening en mogelijk compromittering van de gehele infrastructuur waarop Ella Core draait. De impact is vergelijkbaar met scenario's waarin een aanvaller via een back-up of herstelproces toegang krijgt tot kritieke systeemcomponenten.
Op dit moment is er geen informatie beschikbaar over actieve exploitatiecampagnes gerelateerd aan CVE-2026-33906. De kwetsbaarheid is recentelijk openbaar gemaakt. Er zijn geen publieke proof-of-concept exploits bekend. De KEV status is momenteel onbekend. De publicatiedatum is 2026-04-02.
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33906 is het upgraden van Ella Core naar versie 1.7.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de Database Restore functionaliteit, specifiek voor de NetworkManager rol. Implementeer strikte toegangscontroles en authenticatieprocedures. Monitor de logbestanden op verdachte activiteiten gerelateerd aan databaseherstel. Er zijn momenteel geen specifieke Sigma of YARA patronen bekend, maar het monitoren van databaseherstelprocessen is essentieel. Na de upgrade, verifieer de fix door een poging te wagen om de Database Restore functionaliteit te exploiteren met de bekende kwetsbaarheid en controleer of de toegang is geweigerd.
Werk Ella Core bij naar versie 1.7.0 of hoger. Deze versie corrigeert de privilege escalatie kwetsbaarheid door de backup en restore permissies van de NetworkManager rol te verwijderen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33906 is a HIGH severity vulnerability in Ella Core versions before 1.7.0. It allows an attacker with NetworkManager role access to escalate privileges via database restore, potentially gaining control of the system.
You are affected if you are running Ella Core versions prior to 1.7.0 and have not implemented compensating controls to restrict database restore access.
Upgrade Ella Core to version 1.7.0 or later. If immediate upgrade is not possible, restrict access to the database restore functionality and implement strict role-based access controls.
There are currently no public reports of active exploitation campaigns for CVE-2026-33906, but the vulnerability's nature suggests potential for exploitation.
Refer to the Ella Networks security advisories page for the latest information and official advisory regarding CVE-2026-33906. (Link to advisory would be placed here if available)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.