Plataforma
go
Componente
github.com/ellanetworks/core
Corrigido em
1.7.1
1.7.0
A vulnerabilidade CVE-2026-33906 é uma elevação de privilégios identificada no componente github.com/ellanetworks/core do Ella Core. Esta falha permite que um atacante obtenha acesso não autorizado através da manipulação do processo de restauração do banco de dados, explorando o papel NetworkManager. A vulnerabilidade afeta versões anteriores a 1.7.0 e foi publicada em 2 de abril de 2026. A correção está disponível na versão 1.7.0.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante eleve seus privilégios dentro do sistema Ella Core. Especificamente, um atacante com acesso ao papel NetworkManager pode manipular o processo de restauração do banco de dados para obter acesso a dados sensíveis ou executar comandos com privilégios elevados. O impacto potencial inclui a comprometimento da confidencialidade, integridade e disponibilidade dos dados armazenados no banco de dados, bem como a possibilidade de controle total sobre o sistema. A falta de controles adequados na restauração do banco de dados cria uma oportunidade para um atacante contornar as restrições de acesso normais e obter acesso não autorizado a recursos críticos.
A vulnerabilidade CVE-2026-33906 foi publicada em 2 de abril de 2026. A probabilidade de exploração é considerada média, dada a natureza da elevação de privilégios e a necessidade de acesso ao papel NetworkManager. Atualmente, não há evidências de exploração ativa em campanhas direcionadas, mas a disponibilidade pública da vulnerabilidade aumenta o risco de exploração oportunista. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) no momento da redação.
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33906 é atualizar o Ella Core para a versão 1.7.0 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao processo de restauração do banco de dados apenas a usuários autorizados e monitorar de perto os logs do sistema em busca de atividades suspeitas. Implementar uma política de menor privilégio para o papel NetworkManager pode limitar o impacto potencial de uma exploração bem-sucedida. Após a atualização, confirme a correção verificando os logs do sistema e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente corrigida.
Atualize Ella Core para a versão 1.7.0 ou posterior. Esta versão corrige a vulnerabilidade de escalada de privilégios ao remover as permissões de backup e restauração do role NetworkManager.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33906 is a HIGH severity vulnerability in Ella Core versions before 1.7.0. It allows an attacker with NetworkManager role access to escalate privileges via database restore, potentially gaining control of the system.
You are affected if you are running Ella Core versions prior to 1.7.0 and have not implemented compensating controls to restrict database restore access.
Upgrade Ella Core to version 1.7.0 or later. If immediate upgrade is not possible, restrict access to the database restore functionality and implement strict role-based access controls.
There are currently no public reports of active exploitation campaigns for CVE-2026-33906, but the vulnerability's nature suggests potential for exploitation.
Refer to the Ella Networks security advisories page for the latest information and official advisory regarding CVE-2026-33906. (Link to advisory would be placed here if available)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.